Implementación de los procesos de Gobierno de COBIT 2019

1

Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de Tecnologías de la

Información y Comunicaciones del Ejército del Ecuador

Fabara López, Fabricio Bolívar y Quiroga Chauca, Liceth Alejandra

Vicerrectorado de Investigación, Innovación y Transferencia Tecnológica

Centro de Posgrados

Maestría en Gerencia de Sistemas

Trabajo de titulación, previo a la obtención del título de Magíster en Gerencia de Sistemas

TCRN. Polo González, Juan Carlos

7 de agosto del 2020

2

3

4

5

6

Dedicatoria

A mi Dios, que me acompaña y me bendice con todo lo que hace que mi vida

sea única y plena, con mi familia Mami, Orlando, Joss y Daniel, quienes han sido y

serán los actores más importantes de cada reto superado; con oportunidades que han

sido aprendizaje, con sueños que son motivación, con fortaleza y esperanza para seguir

adelante.

Liceth

El presente trabajo dedico a mi familia que siempre está a mi lado tanto en los

buenos momentos como en los malos, a mi pareja (Karina), a mis padres (Leo y Ana),

motivantes importantes para poder alcanzar este objetivo. Puesto que siempre me están

dando animó para a seguir adelante y esforzarme por un mejor porvenir, sinceramente

infinitas gracias.

Fabricio Fabara

7

Agradecimiento

A Dios, por la dicha de tener a mi familia en cada momento de mi vida, por cada

oportunidad que me ha permitido, por ser mi camino, guía y fortaleza.

A Mi Familia, la mejor del mundo, todo se los debo a Dios y a ustedes que, dejando de

lado mis malos momentos hacen tan suyos mis alegrías y desánimos; gracias por cada sacrificio,

por estar a mi lado en cada etapa, en cada reto cumplido; pero también cuando mis fortalezas

fueron flaquezas.

Por eso, gracias a ti Mami que, con tu apoyo y amor incondicional has sabido escucharme

y enseñarme a tomar de manera cauta cada decisión, te agradezco por solucionar cada problema

y darme esa fuerza para no renunciar a seguir adelante. A mi Papá Orlando que, siempre ha sido

nuestro ejemplo, guardián y ese respaldo que nos hace sentir que nunca estaremos solos. A mi

Papá José, por acompañarme y cuidar de mi Familia.

A mis hermanos, me han enseñado a cuidar y a proteger la vida de alguien más que no

es la mía. A Joss quien vela por mi felicidad, mi consejera y mi mejor amiga para siempre. A Daniel

quien, con su manera de ser nos llena de alegría y con su mentalidad e ideas acertadas siempre

tiene la respuesta a todo.

A mis abuelitos, ejemplo de amor sincero, con palabras llenas de sabiduría me enseñan a

esforzarme por aquello que vale la pena y me hace feliz.

A mis queridos amigos, Gaby, Mayra, German, Iván, es grato contar con una amistad

sincera y palabras de aliento, a pesar de la distancia sé que están ahí siempre que necesito de un

abrazo, una palabra o simplemente compartir en silencio. A Javier gracias, me has demostrado

tantas veces cómo te importa y cómo crees en mí, quien, con una palabra o solución hace que

todo se torne posible.

A nuestro director, Tcrn. Juan Carlos Polo y miembros de la DTIC quienes, con su apoyo

y experiencia supieron dirigirnos para avanzar y culminar de la mejor manera nuestro proyecto.

Liceth

8

Agradecimiento

A mi familia y pareja por el apoyo indiscutible y a mi compañera Liceth quien fue

un pilar fundamental en el desarrollo de este trabajo ya que, gracias a su ímpetu, su

constancia y dedicación hemos logrado alcanzar este paso importante en nuestras

vidas profesionales.

Tengo que hacer una mención especial a mi tutor, Tcrn. Juan Carlos Polo; quien

fue el pilar fundamental en la elaboración de este trabajo por su conocimiento y

determinación.

Fabricio Fabara

9

ÍNDICE DE CONTENIDO

Certificación ................................................................................................................................................... 3

Responsabilidad de autoría .......................................................................................................................... 4

Autorización de publicación ......................................................................................................................... 5

Dedicatoria ..................................................................................................................................................... 6

Agradecimiento .............................................................................................................................................. 7

Agradecimiento .............................................................................................................................................. 8

Resumen ....................................................................................................................................................... 14

Abstract ........................................................................................................................................................ 15

Capítulo I ..................................................................................................................................................... 16

Introducción ............................................................................................................................................... 16

Antecedentes .......................................................................................................................................... 16

Planteamiento del Problema ................................................................................................................. 17

Tema ......................................................................................................................................................... 17

Antecedentes .......................................................................................................................................... 17

Problema .................................................................................................................................................. 19

Justificación ............................................................................................................................................. 19

Objetivos .................................................................................................................................................. 20

General ..................................................................................................................................................... 20

Específicos .............................................................................................................................................. 20

Alcance ..................................................................................................................................................... 21

Hipótesis de investigación ..................................................................................................................... 21

Variables de la Investigación ................................................................................................................ 22

Categorización de las variables de investigación .............................................................................. 22

Capitulo II ................................................................................................................................................... 24

Metodología ............................................................................................................................................... 24

Marco Teórico Aplicado ......................................................................................................................... 24

Gobierno empresarial de la Información y Tecnología ..................................................................... 24

Beneficios del gobierno de tecnologías de la información ............................................................... 25

COBIT como marco de gobierno de I&T ............................................................................................. 27

¿Qué es COBIT y qué no es? .............................................................................................................. 27

Partes interesadas en el gobierno ....................................................................................................... 29

Conceptos directamente relacionados ................................................................................................ 30

Desarrollo del marco teórico de la metodología COBIT 2019 ......................................................... 33

Estructura de Objetivos de Gobierno y Gestión ................................................................................. 49

Gestión del Desempeño en COBIT ..................................................................................................... 50

10

Diseño e Implementación de un Sistema de Gobierno de TI .......................................................... 53

Marco de referencia ITIL ....................................................................................................................... 56

Capitulo III .................................................................................................................................................. 58

Análisis de la situación actual de TI y aplicación de COBIT ......................................................... 58

Análisis empresarial ............................................................................................................................... 58

Sistema Integrado de la Fuerza Terrestre (SIFTE) ........................................................................... 64

Levantamiento de Servicios de TI de la DTIC .................................................................................... 65

Diseño de un Sistema de Gobierno Personalizado ........................................................................... 74

Fases de implementación de un Sistema de Gobierno Personalizado ........................................ 145

Implementación de procesos en la DTIC .......................................................................................... 161

Capítulo IV ................................................................................................................................................ 220

Conclusiones y recomendaciones..................................................................................................... 220

Conclusiones ......................................................................................................................................... 220

Recomendaciones ................................................................................................................................ 223

Referencias bibliográficas ................................................................................................................... 224

Anexos ...................................................................................................................................................... 226

11

Índice de Tablas

Tabla 1 Operacionalización de las Variables ................................................................................ 23 Tabla 2 Metas y métricas empresariales ....................................................................................... 43 Tabla 3 Metas y métricas de alineamiento .................................................................................... 46 Tabla 4 Procesos de la DTIC ........................................................................................................ 63 Tabla 5 Servicios de TI ofertados por la DTIC .............................................................................. 66 Tabla 6 Mapeo de los niveles de madurez de los servicios de la DTIC ........................................ 67 Tabla 7 Evaluación de servicios de la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC) .................................................................................................... 69 Tabla 8 Formato diseñado para el levantamiento de los servicios de TI de la DTIC .................... 70 Tabla 9 Niveles de servicio SLA’s ................................................................................................. 73 Tabla 10 Estrategias de la DTIC ................................................................................................... 76 Tabla 11 Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019 .................. 77 Tabla 12 Objetivos estratégicos de la DTIC .................................................................................. 78 Tabla 13 Objetivos estratégicos de la DTIC y dimensiones del BSC ........................................... 78 Tabla 14 Resultados de la categorización del perfil de riesgos de la DTIC .................................. 81 Tabla 15 Problemas relacionados con I&T.................................................................................... 84 Tabla 16 Objetivos de gobierno y gestión DF1 ............................................................................. 87 Tabla 17 Metas empresariales priorizadas.................................................................................... 89 Tabla 18 Metas de alineamiento priorizadas ................................................................................. 91 Tabla 19 Objetivos de gobierno y gestión para la DTIC DF2 ........................................................ 93 Tabla 20 Resultado de la asignación de Riesgos de TI DF3 ........................................................ 95 Tabla 21 Objetivos de gobierno y gestión DF3 ............................................................................. 95 Tabla 22 Resultado de la Asignación de problemas relacionados con I&T DF4 .......................... 97 Tabla 23 Objetivos de gobierno y gestión DF4 ............................................................................. 98 Tabla 24 Resumen resultados factores de diseño Paso 2 ............................................................ 99 Tabla 25 Resumen valores de factores de diseño Paso 2 .......................................................... 100 Tabla 26 Objetivos de gobierno y gestión Paso 2 ....................................................................... 101 Tabla 27 Objetivos de gobierno y gestión DF5 ........................................................................... 103 Tabla 28 Objetivos de gobierno y gestión DF7 ........................................................................... 104 Tabla 29 Objetivos de gobierno y gestión DF8 ........................................................................... 106 Tabla 30 Objetivos de gobierno y gestión DF9 ........................................................................... 107 Tabla 31 Resumen resultados factores de diseño Paso 3 .......................................................... 108 Tabla 32 Refinamiento del alcance del sistema de gobierno y gestión ...................................... 109 Tabla 33 Resumen valores de factores de diseño Paso 3 .......................................................... 111 Tabla 34 Objetivos de gobierno y gestión Paso 3 ....................................................................... 112 Tabla 35 Objetivos de gobierno y gestión Paso 2 Paso 3........................................................... 114 Tabla 36 Objetivos de gobierno y gestión priorizados para la DTIC ........................................... 116 Tabla 37 Resumen de valores de objetivos de gobierno y gestión DTIC ................................... 130 Tabla 38 Objetivos de gobierno y gestión para la DTIC .............................................................. 131 Tabla 39 Escala de calificación de niveles de capacidad ........................................................... 135 Tabla 40 Nivel de madurez actual de los objetivos gobierno/gestión EDM ................................ 136 Tabla 41 Nivel de madurez actual de los objetivos gobierno/gestión APO................................ 137 Tabla 42 Nivel de madurez actual de los objetivos gobierno/gestión BAI ................................. 139 Tabla 43 Nivel de madurez actual de los objetivos gobierno/gestión DSS ................................ 141 Tabla 44 Nivel de madurez actual de los objetivos gobierno/gestión MEA ................................ 142 Tabla 45 Nivel de madurez de los procesos de TI a fortalecer en la DTIC ................................. 144 Tabla 46 Fases de implementación COBIT2019 en DTIC ......................................................... 148 Tabla 47 Análisis de brechas en los procesos de la DTIC .......................................................... 156 Tabla 48 Análisis de brechas en los procesos de la DTIC .......................................................... 158 Tabla 49 Metas empresariales y de alineamiento de APO11 ..................................................... 162 Tabla 50 Métricas del APO11 para la DTIC ................................................................................ 163

12

Tabla 51 Actividades proceso APO11.01 ................................................................................... 166 Tabla 52 Actividades proceso APO11.02 .................................................................................... 168 Tabla 53 Actividades proceso APO11.03 .................................................................................... 170 Tabla 54 Actividades proceso APO11.04 .................................................................................... 172 Tabla 55 Actividades proceso APO11.05 .................................................................................... 174 Tabla 56 Flujos y elementos de comunicación ........................................................................... 176 Tabla 57 Metas empresariales y de alineamiento de DSS05 ..................................................... 191 Tabla 58 Métricas de DSS05 para DTIC ..................................................................................... 192 Tabla 59 Actividades proceso DSS05.01 .................................................................................... 193 Tabla 60 Actividades proceso DSS05.02 .................................................................................... 195 Tabla 61 Actividades proceso DSS05.03 .................................................................................... 197 Tabla 62 Actividades proceso DSS05.04 .................................................................................... 199 Tabla 63 Actividades proceso DSS05.05 .................................................................................... 201 Tabla 64 Actividades proceso DSS05.06 .................................................................................... 203 Tabla 65 Actividades proceso DSS05.07 .................................................................................... 205 Tabla 66 Flujos y elementos de comunicación ........................................................................... 207 Tabla 67 Servicios de TI en la DTIC ........................................................................................... 211

13

Índice de Figuras

Figura 1 Gobierno empresarial de la Información y Tecnología COBIT 2019 .............................. 24 Figura 2 Partes interesadas de COBIT ......................................................................................... 29 Figura 3 Objetivos de Gobierno y Gestión COBIT 2019 ............................................................... 31 Figura 4 Principios del Sistema de Gobierno COBIT 2019 .......................................................... 33 Figura 5 Principios para Marco de Gobierno COBIT 2019 ........................................................... 35 Figura 6 Factor de diseño estrategia empresarial ........................................................................ 37 Figura 7 Factor de diseño objetivos empresariales ...................................................................... 38 Figura 8 Factor de diseño perfil de riesgo de TI ........................................................................... 38 Figura 9 Factor de diseño problemas relacionados con TI ........................................................... 39 Figura 10 Factor de diseño panorama de amenazas ................................................................... 39 Figura 11 Factor de diseño requerimientos de cumplimiento ....................................................... 40 Figura 12 Factor de diseño rol de TI ............................................................................................. 40 Figura 13 Factor de diseño modelo de abastecimiento para TI ................................................... 41 Figura 14 Factor de diseño métodos de implementación de TI .................................................... 41 Figura 15 Factor de diseño estrategia de adopción de tecnología ............................................... 41 Figura 16 Factor de diseño tamaño de la empresa ...................................................................... 42 Figura 17 Cascada de metas de COBIT ....................................................................................... 42 Figura 18 Presentación de objetivos de gobierno y gestión ......................................................... 49 Figura 19 Niveles de Capacidad para los procesos ..................................................................... 51 Figura 20 Niveles de Madurez para áreas prioritarias .................................................................. 52 Figura 21 Diseño de un sistema de Gobierno de TI ..................................................................... 53 Figura 22.Paso 4 del diseño del sistema de gobierno—Conclusión ............................................ 56 Figura 23 Ciclo de vida de los servicios basado en el Ciclo de Deming ...................................... 57 Figura 24 Sistema de Valor de la DTIC ........................................................................................ 60 Figura 25 Sistema de Valor de la DTIC ........................................................................................ 61 Figura 26 Sistema Integrado de la Fuerza Terrestre (SIFTE) ...................................................... 64 Figura 27 Proceso de Infraestructura Servidores ........................................................................ 72 Figura 28 Flujo de trabajo del diseño del sistema de gobierno .................................................... 75 Figura 29 Categorización del escenario del perfil de riesgo de la DTIC....................................... 80 Figura 30 Categorización de los problemas actuales relacionados con I&T ................................ 83 Figura 31 Metas empresariales COBIT 2019 ............................................................................... 88 Figura 32 Metas empresariales a metas de alineamiento ............................................................ 90 Figura 33 Metas de alineamiento a Objetivos de gobierno y gestión DF3 ................................... 92 Figura 34 Flujo de trabajo del diseño del sistema de gobierno .................................................. 113 Figura 35 Factor de Diseño DF1 ................................................................................................. 120 Figura 36 Factor de Diseño DF2 ................................................................................................. 121 Figura 37 Factor de Diseño DF3 ................................................................................................. 122 Figura 38 Factor de Diseño DF4 ................................................................................................. 123 Figura 39 Factor de Diseño DF5 ................................................................................................. 124 Figura 40 Factor de Diseño DF7 ................................................................................................. 125 Figura 41 Factor de Diseño DF8 ................................................................................................. 126 Figura 42 Factor de Diseño DF9 ................................................................................................. 127 Figura 43 Importancia de los objetivos de gobierno/gestión para DTIC ..................................... 128 Figura 44 Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC ..................... 132 Figura 45 Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC ................. 133 Figura 46 Hoja de ruta de implementación COBIT ..................................................................... 147 Figura 47 Matriz de Responsabilidades ...................................................................................... 175 Figura 48 Contexto de TDRE ...................................................................................................... 185 Figura 49 Matriz de Responsabilidades ...................................................................................... 206

14

Resumen

El desarrollo de las Tecnologías de la Información y Comunicación se ha convertido en

un aspecto fundamental dentro de las organizaciones; pero también implica que su

funcionamiento se realice en torno a constantes amenazas y debido al tipo de

información que se maneja, así como a las estrictas regulaciones internas y de entes

regulatorios, las instituciones reconocen la importancia de contar con un entorno de TI

administrado y gobernado de manera adecuada; es así que considerando la situación

actual de la Dirección de Tecnologías de la Información y Comunicaciones (DTIC) ante

la falta de procedimientos y procesos apropiados, en base a un marco de referencia que

le permita lograr un gobierno de TI con eficacia, el presente proyecto pretende mejorar

el gobierno y la administración de los procesos de TI, mediante la implementación de la

metodología COBIT 2019, que se traduce en tener información suficiente y de calidad

para la toma efectiva de decisiones; así se evitan vulnerabilidades en cuanto al uso de

TI, ya que los usuarios involucrados tendrán un correcto conocimiento sobre la gestión y

administración de la información y de los sistemas de TI de la institución. COBIT 2019

facilita la gestión y la administración de recursos de TI, además proporciona orientación

para activar un marco efectivo de gobierno; por estas razones permitirá mejorar la

gobernanza y la administración de los procesos de TI de la DTIC, con el fin de crear

valor, minimizar riesgos, optimizar recursos y alcanzar sus objetivos mediante una

gestión exitosa de TI.

- Palabras clave:

• DTIC

• PROCESOS

• COBIT

• TI

15

Abstract

The development of Information and Communication Technologies has become a

fundamental aspect within organizations; but it also implies that its operation is carried

out around constant threats and due to the type of information that is handled, as well as

the strict internal regulations and of regulatory entities, the institutions recognize the

importance of having a managed and governed IT environment. properly; Thus,

considering the current situation of the Information Technology and Communications

Department (DTIC) due to the lack of appropriate procedures and processes, based on

a reference framework that allows it to achieve effective IT governance, this project aims

to improve the governance and administration of IT processes, by implementing the

COBIT 2019 methodology, which translates into having sufficient and quality information

for effective decision-making; Thus avoiding vulnerabilities in terms of the use of IT,

since the users involved will have a correct knowledge of the management and

administration of the information and of the IT systems of the institution. COBIT 2019

facilitates the management and administration of IT resources, as well as provides

guidance to activate an effective governance framework; For these reasons, it will allow

the improvement of the governance and administration of the IT processes of the DTIC,

in order to create value, minimize risks, optimize resources and achieve their objectives

through successful IT management

- Key words:

• DTIC

• PROCESSES

• COBIT

• TI

16

Capítulo I

Introducción

Antecedentes

La información representa uno de los activos potencialmente más importantes

de las organizaciones y puede ser utilizada como un recurso estratégico más; el uso

eficiente de la información orienta a una organización al logro de objetivos de manera

exitosa. (Aportela & Gallego Gómez, 2015).

Es así como el desarrollo continuo de las Tecnologías de la Información y

Comunicación (TIC) se ha convertido es un aspecto fundamental dentro de las

organizaciones, mediante la inclusión de sistemas innovadores y con la incorporación

de medidas de seguridad en todo nivel; además permite considerar una medida de

riesgo adecuado; así como mantener y garantizar información de calidad para la toma

correcta de decisiones; pero también implica que su funcionamiento se realice entorno a

constantes amenazas por lo tanto, debido al tipo de información que se maneja, así

como a las estrictas regulaciones, las instituciones están conscientes sobre la

importancia de contar con un entorno de Tecnologías de la Información bien

administrado y gobernado, por lo que la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC) no es la excepción.

La Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza

Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y

Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y

desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad

Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades

Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)

17

En la actualidad, las funciones de gobierno y gestión de TI de la DTIC de la

Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos y documentados

debido a varios factores, entre ellos, la falta de una gestión adecuada y la rotación del

personal técnico; por lo que es necesario implementar un marco de referencia que

permita la optimización de recursos humanos y tecnológicos y la definición de sus

procesos críticos, para con ello alinear los objetivos de TI con los objetivos estratégicos

institucionales y crear valor para la DTIC, a través una visión clara de la correcta gestión

de TI y de la información (Velasteguí, 2019).

COBIT representa una guía de mejores prácticas para garantizar un gobierno y

una administración efectivos de TI en una organización; permite alinear los objetivos de

TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo

práctico para crear un programa de gobierno que se adapte a las necesidades de cada

organización, así como un modelo de madurez, e introduce nuevos conceptos para

garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el

uso optimizado de recursos y mejor eficiencia en la administración de la información y

de la tecnología (ISACA, 2019).

Planteamiento del Problema

Tema

Implementación de los procesos de Gobierno de COBIT 2019 en la Dirección de

Tecnologías de la Información y Comunicaciones del Ejército del Ecuador.

Antecedentes

El desarrollo continuo de las tecnologías de la información y comunicación

permite a las organizaciones mejorar la eficiencia y eficacia en todos sus recursos,

mediante la optimización de procesos, con la inclusión de sistemas innovadores, así

18

como, con la incorporación de medidas de seguridad en todo aspecto, considerando

niveles de riesgos adecuados; facilitando y garantizando información de calidad para la

toma de decisiones.

Por tanto, la información representa uno de los activos potencialmente más

importantes de las organizaciones y puede ser utilizada como un recurso estratégico

más; el uso eficiente de la información orienta a una organización al logro de objetivos

de manera exitosa (Aportela & Gallego Gómez, 2015)


Terrestre (DTIC) tiene como misión, Gestionar las Tecnologías de la Información y

Comunicaciones, mediante la gestión de comunicaciones e informática; diseño y

desarrollo de proyectos; y, seguridad tecnológica, para incrementar la Capacidad

Operativa de Mando y Control a fin de contribuir al desarrollo de las Capacidades

Militares y el Apoyo al Desarrollo Nacional. (Rodriguez, 2019)

En la actualidad, las funciones de gobierno, dirección y la administración de TI

de la DTIC de la Fuerza Terrestre son limitadas, no cuenta con procesos bien definidos

y documentados, debido a varios factores, entre ellos, la rotación del personal técnico y

la falta de una gestión adecuada; por lo que es necesario implementar un marco de

referencia que permita la optimización de recursos humanos y tecnológicos de la

institución, para con ello poder cerrar las brechas existentes en cuanto a control,

administración, seguridad, riesgos, etc. Por lo tanto, es posible crear valor para la DTIC,

a través una visión clara de la correcta gestión de TI y de la información. (Velasteguí,

2019)

COBIT representa una guía de mejores prácticas para garantizar un gobierno y

una administración efectivos de TI en una organización; permite alinear los objetivos de

TI con los objetivos institucionales. En su versión COBIT 2019, provee un modelo

19

práctico para crear un programa de gobierno que se adapte a las necesidades de cada

organización, así como un modelo de madurez, e introduce nuevos conceptos para

garantizar una implementación más sencilla y personalizada. COBIT 2019 garantiza el

uso optimizado de recursos y mejor eficiencia en la administración de la información y

de la tecnología. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología,

2018)

Problema


Terrestre (DTIC) no cuenta con procedimientos adecuados con base a un modelo de

mejores prácticas de TI, que le permita lograr un gobierno y gestión de TI con eficacia,

por lo tanto no se tiene la información suficiente para la toma efectiva de decisiones,

debido a lo cual, existe desconocimiento por parte de los usuarios en la utilización,

administración y gobierno de TI; además se dificulta la capacitación y la transferencia de

conocimientos al personal nuevo; lo que se refleja en una gestión de TI en base a

convicciones propias de los usuarios, en altos tiempos de respuesta en la atención de

requerimientos, se complica la identificación, documentación de las necesidades y la

comunicación oportuna sobre la situación actual de TI.

Por estas razones, la DTIC ha planteado la necesidad de optimizar sus recursos,

no solamente tecnológicos, sino también recurso humano y mejorar el gobierno, así

como la administración de TI y de la información dentro de la institución.

Justificación

El presente proyecto pretende mejorar el gobierno y la administración de los

procesos de TI de la DTIC, mediante la implementación de la metodología COBIT 2019;

evitando así vulnerabilidades en cuanto al uso de TI, puesto que los usuarios

20

involucrados tendrán un correcto conocimiento sobre la gestión y administración de la

información y de los sistemas de TI de la institución.

Con la implementación de las buenas prácticas del marco de referencia COBIT

2019 se pretende resolver las siguientes preguntas dentro de la DTIC:

• ¿Cuál es la situación actual de los procesos de las TI que se emplean en la DTIC?

• ¿Cuál es la definición de la estrategia institucional, mediante los objetivos

estratégicos priorizados?

• ¿Cuáles son los requisitos y el interés de la DTIC sobre el gobierno y administración

de TI?

• ¿Qué relación se establece entre las metas corporativas propuestas por COBIT, con

las metas de TI de la DTIC?

• ¿Cuáles son los procesos necesarios que la DTIC requiere implementar, para

incrementar su eficiencia operativa y mejorar la gestión de TI, con base a los

procesos definidos en COBIT?

• ¿Cómo mejorar el gobierno y la administración de TI para la DTIC, con el empleo de

COBIT 2019?

Objetivos

General

Implementar los procesos de gobierno de COBIT 2019 en la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del Ecuador, que

permita una mejor gestión y administración de los procesos de Tecnologías de la

Información.

Específicos

• Analizar y evaluar la situación actual de los procesos y beneficios de las TI que se

emplean en la DTIC.

21

• Conocer la definición de la estrategia institucional, mediante los objetivos

estratégicos priorizados.

• Determinar los requisitos y el interés de la DTIC sobre el gobierno y administración

de TI.

• Realizar el análisis de la relación que se establece entre las metas corporativas

propuestas por COBIT, con las metas de TI.

• Identificar, analizar y definir los procesos necesarios que la DTIC requiere

implementar, para incrementar su eficiencia operativa y mejorar la gestión de TI, con

base a los procesos definidos en COBIT.

• Determinación y aplicación de un modelo de mejoramiento de los procesos de TI

para la DTIC, aplicando COBIT 2019.

Alcance

Es imprescindible emplear un marco de referencia que sirva como guía, con la

utilización de procedimientos y técnicas óptimos para el logro de objetivos de TI

alineados al cumplimiento de objetivos institucionales; por esta razón el presente

proyecto pretende mejorar el gobierno y la administración de los procesos de TI en la

Dirección de Tecnologías de la Información y Comunicaciones (DTIC) del Ejército del

Ecuador, con la implementación de los procesos de SERVICIOS y QUALITY

ASSURANCE (QA) PARA DESARROLLO DE SOFTWARE, en base a la metodología

COBIT 2019.

Hipótesis de investigación

La hipótesis que se plantea es: Con la implementación de la metodología COBIT

2019 para la utilización de TI en la Dirección de Tecnologías de la Información y

Comunicaciones de la Fuerza Terrestre (DTIC), se mejorará el gobierno, así como la

administración de procesos de TI y de los recursos de la institución.

22

Variables de la Investigación

Las variables se refieren a factores que pueden ser susceptibles de modificarse

o pueden variar, es todo aquello que se va a medir, controlar y estudiar en la

investigación. (Reguant Alvarez & Martínez-Olmo, 2014).

Entre los tipos de variables utilizados en las investigaciones se tiene variables

dependientes y variables independientes. Las variables independientes no dependen

del valor de otras, son las causas o el fenómeno por investigar; determina el cambio en

la variable dependiente. Las variables dependientes son las que se miden y son el

resultado del fenómeno o situación que se intenta investigar (Mejia Jervis, 2017).

En consecuencia, de la hipótesis planteada se identifican dos variables:

• Variable Independiente: La implementación de la metodología COBIT 2019 en la

utilización de TI en la DTIC.

• Variable Dependiente: Mejorará el gobierno y la administración de procesos de TI y

de los recursos tecnológicos y humanos de la institución.

Categorización de las variables de investigación

La operacionalización de las variables se refiere al proceso metodológico que

consiste en descomponer las variables de la investigación, partiendo desde lo más

abstracto hasta llegar a lo más concreto. (Metodología de investigación, pautas para

hacer Tesis. , 2013) (Cazau, 2004).

La operacionalización de las variables se muestra en la Tabla 1, se incluye:

• Definición Conceptual: Conceptos que permiten la comprensión del fenómeno

• Definición Operacional: Normas y procedimientos que se seguirán para medir las

variables

• Categorización: Diferentes posibilidades de variación que puede tener una variable

23

• Indicador: Propiedad que puede ser directamente observadas y cuantificadas en la

práctica

Tabla 1

Operacionalización de las Variables

Variables Tipo Definición conceptual

Definición operacional

Categorización Indicadores

La implementación de la metodología COBIT 2019 en la utilización de TI en la DTIC

Ind.

Conjunto de mejores prácticas que la metodología COBIT establece

COBIT 2019 se construye sobre 6 principios, 7 componentes y 40 procesos en 5 dominios para el Sistema de Gobierno y 3 principios adicionales para el Marco de Gobierno

- Gestión del Programa - Habilitación del Cambio - Ciclo de vida de mejora continua de procesos

-Porcentaje de TI a considerar en la implementación de COBIT 2019 -Número de procesos por nivel de madurez

Mejorará el gobierno y la administración de procesos de TI y de los recursos tecnológicos y humanos de la institución

Dep.

COBIT define un conjunto de directrices para un gobierno y administración eficiente de TI y de la información

Sistema personalizable de gobierno, que considera factores de diseño y áreas específicas de aplicación.

-Mejora de gobernanza -Mejora de administración

-Número de metas de TI alineadas a las metas de la institución. -Porcentaje de procesos y dominios de COBIT aplicados en la institución

24

Capitulo II

Metodología

Marco Teórico Aplicado

Gobierno empresarial de la Información y Tecnología

Con el paso de los años la transformación digital, la información y la tecnología

(I&T) se han convertido en algo fundamental para el soporte, la sostenibilidad y el

crecimiento de las empresas. Anteriormente, la alta gerencia podía delegar, ignorar o

evitar las decisiones relacionadas con las I&T. En la actualidad la creación de valor para

las empresas va de la mano de la digitalización en nuevos modelos de negocio,

procesos eficientes, una exitosa innovación, etc. (ISACA, Marco de referencia COBIT

2019: Gobierno empresarial de la Información y Tecnología, 2018).

La GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el

consejo de administración, que supervisa la definición e implementación de procesos,

estructuras y mecanismos relacionados en la organización para permitir a la empresa y

al personal de TI desempeñar sus responsabilidades de soporte al negocio/alineamiento

de TI y la creación de valor de negocio derivado de las inversiones empresariales

posibles gracias a la I&T (figura 1). (ISACA, Marco de referencia COBIT 2019: Gobierno

empresarial de la Información y Tecnología, 2018).

Figura 1

Gobierno empresarial de la Información y Tecnología COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Gobierno empresarial de la

Información y Tecnología, 2018)

25

El gobierno empresarial de información y tecnología es complejo y multifacético.

No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener

una GETI eficaz dentro de una organización. Así, los miembros de los consejos

directivos y la alta gerencia se ven abocados a adaptar e implementar sus medidas

GETI conforme a su contexto y necesidades específicas. Además, deben estar

dispuestos a aceptar una mayor responsabilidad en cuanto a las I&T y crear una

mentalidad y cultura distintas para generar valor a partir de la I&T. (ISACA, Marco de

referencia COBIT 2019: Gobierno empresarial de la Información y Tecnología, 2018).

Beneficios del gobierno de tecnologías de la información

El GETI se preocupa de la creación de valor a partir de la transformación digital

y la mitigación del riesgo de negocio derivado de dicha transformación, concretamente,

tras la adopción satisfactoria de la GETI cabe esperar tres resultados principales:

(ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la

información, 2018).

• Obtención de beneficios. - El principio básico del valor de la I&T consiste en

ofrecer servicios y soluciones adecuados, a tiempo y dentro del presupuesto, que

generen los beneficios financieros y no financieros esperados. El valor que la I&T

ofrecen debería estar directamente alineado con los valores en los que se centra el

negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del gobierno de

tecnologías de la información, 2018)

• Optimización de riesgos. - Esto implica tener en cuenta el riesgo empresarial

asociado al uso, propiedad, operación, involucramiento, influencia y adopción de I&T

dentro de una empresa. El riesgo empresarial asociado a la información y la

26

tecnología consiste en eventos relacionados con I&T que podrían llegar a tener un

impacto en el negocio. (ISACA, Marco de referencia COBIT 2019: Beneficios del

gobierno de tecnologías de la información, 2018)

• Optimización de recursos. - La optimización de recursos asegura la dotación de

una integrada, económica infraestructura de TI, la introducción de nueva tecnología

conforme lo requiera el negocio y la actualización o sustitución de sistemas

obsoletos. Porque reconoce la importancia de las personas, además del hardware y

software, se centra en proporcionar formación, fomentar la retención y garantizar la

competencia del personal clave de TI. Recursos importantes son los datos y la

información, y su explotación para obtener un valor óptimo es otro elemento esencial

de la optimización de recursos. (ISACA, Marco de referencia COBIT 2019:

Beneficios del gobierno de tecnologías de la información, 2018)

El alineamiento estratégico y la medición del desempeño revisten una

importancia primordial y afectan a la totalidad de actividades para garantizar que los

objetivos relacionados con I&T estén alineados con los objetivos de la empresa.

Los estudios muestran que las empresas con estrategias de GETI mal

diseñadas o adoptadas tienen un peor alineamiento del negocio y las estrategias y

procesos de I&T. Como resultado, estas empresas tienen menor probabilidad de cumplir

con sus estrategias de negocio previstas.

A partir de esto, es obvio que el gobierno debe entenderse e implementarse

mucho más allá de la interpretación (limitada) que solemos encontrarnos y que viene

sugerida por el acrónimo de gobierno, riesgo y cumplimiento (GRC). El acrónimo GRC

sugiere de forma implícita que el cumplimiento y el riesgo relacionado representan el

espectro de gobierno.

27

COBIT como marco de gobierno de I&T

Con el transcurrir del tiempo, se han desarrollado y promocionado marcos de

mejores prácticas para contribuir al proceso de conocimiento, diseño e implementación

de la GETI. COBIT® 2019, no solo mediante la incorporación de los nuevos

conocimientos de la ciencia, sino también con la aplicación de estos conocimientos en

la práctica, a partir de su lanzamiento en la comunidad de las auditorías de TI, COBIT®

ha pasado a ser un marco de gobierno y gestión de I&T más amplio y exhaustivo y

sigue estableciéndose como un marco generalmente aceptado para el gobierno de I&T.

(ISACA, Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T,

2018)

¿Qué es COBIT y qué no es?

COBIT es un marco para el gobierno y la gestión de las tecnologías de la

información de la empresa, dirigido a toda la empresa. La I&T empresarial significa toda

la tecnología y procesamiento de la información que la empresa utiliza para lograr sus

objetivos, independientemente de dónde ocurra dentro de la empresa.

El marco de referencia COBIT hace una distinción clara entre gobierno y gestión.

Estas dos disciplinas abarcan distintos tipos de actividades, requieren distintas

estructuras organizativas y sirven diferentes propósitos. (ISACA, Marco de referencia

COBIT 2019: ¿Qué es COBIT y qué no es?, 2018)

El gobierno asegura que:

• Las necesidades, condiciones y opciones de las partes interesadas se evalúan para

determinar objetivos empresariales equilibrados y acordados.

• La dirección se establece a través de la priorización y la toma de decisiones.

28

• El desempeño y el cumplimiento se monitorean en relación con la dirección y los

objetivos acordados.

En la mayoría de las empresas, la gerencia es responsabilidad de la dirección

ejecutiva bajo el liderazgo del director general ejecutivo (CEO).

Como genera valor al negocio la implementación del marco de referencia

COBIT:

• COBIT define los componentes para crear y sostener un sistema de gobierno:

procesos, estructuras organizativas, políticas y procedimientos, flujos de

información, cultura y comportamientos, habilidades e infraestructura.

• COBIT define los factores de diseño que deberían ser considerados por la empresa

para crear un sistema de gobierno más adecuado.

• COBIT trata asuntos de gobierno mediante la agrupación de componentes de

gobierno relevantes dentro de objetivos de gobierno y gestión que pueden

gestionarse según los niveles de capacidad requeridos.

¿Que no es COBIT?:

• COBIT no es una descripción completa de todo el entorno de TI de una empresa.

• COBIT no es un marco para organizar procesos de negocio.

• COBIT no es un marco técnico (de TI) para gestionar toda la tecnología.

• COBIT no toma ni prescribe ninguna decisión relacionada con la TI.

No decidirá cuál es la mejor estrategia de TI, cuál es la mejor arquitectura, o

cuánto puede o debería costar la TI. Por el contrario, COBIT define todos los

componentes que describen qué decisiones deberían tomarse, cómo deberían tomarse

y quién debería tomarlas.

29

Partes interesadas en el gobierno

El público objetivo de COBIT son las partes interesadas en la GETI y, por

extensión, las partes interesadas en el gobierno corporativo. Estas partes interesadas y

los beneficios que pueden obtener de COBIT se muestran en la (Figura 2). (ISACA,

Marco de referencia COBIT 2019: Partes interesadas en el gobierno, 2018)

Figura 2

Partes interesadas de COBIT

Nota. (ISACA, Marco de referencia COBIT 2019: Partes interesadas en el gobierno,

2018)

Se requiere un cierto nivel de experiencia y un conocimiento profundo de la

empresa para beneficiarse del marco de referencia COBIT. Dicha experiencia y

conocimiento permite a los usuarios personalizar las directrices principales de COBIT

(cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa,

30

mediante la consideración del contexto de la empresa. (ISACA, Marco de referencia

COBIT 2019: Partes interesadas en el gobierno, 2018)

Conceptos directamente relacionados

Objetivos de gobierno y gestión.

Los objetivos de gobierno y gestión se relacionan con un proceso y con

una serie de componentes relacionados de otros tipos, con el fin de contribuir con el

logro de los objetivos de la empresa.

Un objetivo de gobierno se encuentra relacionado con un proceso de gobierno

y un objetivo de gestión se relaciona con un proceso de gestión. Los procesos de

gobierno se encuentran bajo el dominio de la administración y dirección ejecutiva,

mientras que los procesos de gestión se encuentran a cargo de alta y media gerencia.

El modelo Core de COBIT 2019 incluye 40 objetivos de gobierno y gestión

agrupados en 5 dominios (figura 3). Los dominios se nominan con verbos que indican el

propósito clave y las áreas de acción de cada objetivo. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018). Los objetivos de gobierno y

gestión se agrupan en los siguientes dominios:

Objetivos de Gobierno:

1. Evaluar, Dirigir y Monitorizar (EDM).- En este dominio se evalúan las opciones

estratégicas, se dirige a la alta gerencia sobre las opciones estratégicas y se

monitoriza el logro de la estrategia.

Objetivos de Gestión:

2. Alinear, Planificar y Organizar (APO).- Incluye la organización general, estrategia

y actividades de apoyo para la Información y Tecnología.

31

3. Construir, Adquirir e Implementar (BAI).- Se relaciona con la definición,

adquisición e implementación de soluciones para su integración en procesos de

negocio.

4. Entregar, Dar Servicio y Soporte (DSS).- Se realiza la entrega operativa y el

soporte de los servicios de información y tecnología, incluida la seguridad.

5. Monitorizar, Evaluar y Valorar (MEA).- Incluye la monitorización del rendimiento y

la conformidad de la información y la tecnología con respecto a los objetivos

planteados.

Figura 3

Objetivos de Gobierno y Gestión COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

32

Componentes del Sistema de Gobierno.

Con el fin de alcanzar los objetivos de gobierno y gestión, una empresa requiere

establecer, personalizar y sostener un sistema de gobierno, creado en base a una serie

de componentes o factores, que de forma individual y combinada interactúan entre sí

(sistema holístico) para contribuir al funcionamiento adecuado del sistema de gobierno

de una empresa, en cuanto a la información y la tecnología.

Entre los componentes que considera COBIT para un sistema de gobierno se

encuentran: Procesos; Estructuras organizativas; Principios, políticas y

procedimientos; Información; Cultura, ética y comportamiento; Personas,

habilidades y competencias; Servicios, infraestructura y aplicaciones. (ISACA,

Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

Áreas Prioritarias.

Se refiere a un determinado tema de gobierno, dominio o problema, que requiere

una directriz específica y puede ser abordado por una serie de objetivos de gobierno y

gestión, así como sus componentes. Las áreas prioritarias pueden incluir una

combinación de componentes de gobierno genéricos (se aplican a cualquier situación,

suelen requerir una personalización) y variantes (se basan en componentes genéricos,

pero se adaptan para un contexto específico).

El número de áreas prioritarias es ilimitado y puede cambiar de manera dinámica

según sea necesario. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno

y Gestión, 2018)

33

Desarrollo del marco teórico de la metodología COBIT 2019

Principios de COBIT 2019.

COBIT 2019 se desarrolló en base a dos series de principios: (ISACA, Marco de

referencia COBIT 2019: Principios de COBIT 2019, 2018):

• Principios que describen los requisitos fundamentales de un sistema de gobierno

para la Información y la tecnología de la empresa

• Principios para un marco de gobierno que pueda usarse para crear un sistema de

gobierno para la empresa

Seis principios para un sistema de gobierno

Los seis principios para un sistema de gobierno son (figura 4):

Figura 4

Principios del Sistema de Gobierno COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)

1. Proporcionar valor a las partes interesadas. – Consiste en el manejo de un

sistema de gobierno para satisfacer las necesidades de las partes interesadas y

generar valor del uso de la I&T. El valor refleja un equilibrio entre el beneficio, el

34

riesgo y los recursos, y las empresas necesitan una estrategia y un sistema de

gobierno práctico para materializar este valor.

2. Enfoque holístico. - Un sistema de gobierno para la I&T de la empresa se crea a

partir de una serie de componentes que pueden ser de distinto tipo y que funcionan

conjuntamente de forma holística.

3. Sistema de Gobierno Dinámico. – Consiste en que cada vez que se cambian uno

o más factores del diseño (p. ej. un cambio de estrategia o tecnología), debe

considerarse el impacto de estos cambios en el sistema GETI. Una visión dinámica

de la GETI llevará a un sistema de GETI preparado para el futuro.

4. Separar el gobierno de la gestión. – Consiste en distinguir claramente entre

actividades de gobierno y gestión, y estructuras.

5. Adaptar las necesidades de la empresa. – Consiste en personalizarse de acuerdo

con las necesidades de la empresa, utilizando una serie de factores de diseño como

parámetros para personalizar y priorizar los componentes del sistema de gobierno.

6. Sistema de gobierno integro. – Consiste en cubrir la empresa de principio a fin,

centrándose no solo en la función de TI, sino en todo el procesamiento de

tecnología e información que la empresa pone en funcionamiento para lograr sus

objetivos, independientemente de dónde se realice el procesamiento en la empresa

Tres principios para un Marco de Gobierno

Los tres principios para un marco de gobierno son (figura 5):

35

Figura 5

Principios para Marco de Gobierno COBIT 2019

Nota. (ISACA, Marco de referencia COBIT 2019: Principios de COBIT 2019, 2018)

1. Basado en el modelo conceptual. - Un marco de gobierno se debería basar en un

modelo conceptual que identifique los componentes principales y las relaciones

entre componentes para maximizar la uniformidad y permitir la automatización.

2. Abierto y flexible. - Un marco de gobierno debería ser abierto y flexible. Debería

permitir la incorporación de nuevo contenido y la capacidad para abordar nuevos

asuntos de la forma más flexible, mientras mantiene la integridad y uniformidad.

3. Alineado con las principales normativas. - Un marco de gobierno debería

alinearse con los principales estándares, marcos y regulaciones relacionados.

COBIT® 2019 mejora las anteriores versiones de COBIT en las áreas siguientes:

• Flexibilidad y apertura. - La definición y uso de los factores de diseño permiten la

personalización de COBIT para un mayor alineamiento con el contexto específico de

un usuario. La arquitectura abierta de COBIT permite incorporar nuevas áreas

prioritarias (ver sección 4.4) o modificar

36

• Actualidad y relevancia. - El modelo COBIT apoya las referencias y alineamiento

con conceptos que surgen de otras fuentes (p. ej. los últimos estándares y

regulaciones de cumplimiento de TI).

• Aplicación prescriptiva. - Los modelos como COBIT pueden ser descriptivos y

prescriptivos. El modelo conceptual COBIT se crea y presenta de tal modo que su

ejemplificación (es decir, la aplicación de los componentes de gobierno

personalizados de COBIT) se percibe como una prescripción de un sistema de

gobierno de TI personalizado.

Componentes del Sistema de Gobierno.

El Sistema de Gobierno considera componentes, antes llamados catalizadores o

habilitadores, que corresponden a los 7 ya conocidos en COBIT 5: (ISACA, Marco de

referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Procesos describen un conjunto de actividades organizadas para alcanzar

resultados específicos, y lograr la consecución global de los objetivos relacionados

con las TI (Tecnologías de la información).

• Estructuras Organizativas entidades claves encargadas de la toma de decisiones.

• Principios, políticas, y marcos de referencia permiten convertir un

comportamiento deseado en guías prácticas para la gestión día a día.

• Información incluye toda la información producida y utilizada por una organización.

• Cultura, ética y comportamiento conjunto de comportamientos individuales y

colectivos dentro de una empresa.

• Personas, habilidades y las competencias son requeridas para completar de

manera exitosa todas las actividades, para tomar buenas decisiones y ejecutar

acciones correctivas.

37

• Servicios, infraestructura y aplicaciones incluye la infraestructura, la tecnología y

las aplicaciones que un sistema de gobierno provee a la empresa para el

procesamiento de Información y Tecnología.

Factores de Diseño.

Para adaptar un sistema de gobierno a los requerimientos de la organización, en

COBIT 2019 se incluyen 11 factores de diseño. Estos factores influyen en el diseño del

sistema de gobierno y guían a una empresa hacia al éxito en cuanto al uso de

Información y Tecnología (Gonzalez, 2018), (ISACA, Marco de referencia COBIT 2019:

Introducción y Metodología, 2018).

1. Estrategia empresarial se refiere a que las empresas pueden funcionar en base a

distintas estrategias, que pueden encajar como uno o más prototipos de la (figura 6).

Figura 6

Factor de diseño estrategia empresarial

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018) 2. Objetivos empresariales, los cuales apoyan a las estrategias empresariales. Estos

objetivos se estructuran en torno a las dimensiones del Balanced Scorecard. Se

entiende al Balanced Scored Card (BSC) como una metodología para alcanzar un

balance integrado y estratégico del crecimiento, productividad y competitividad;

permite traducir una estrategia en objetivos relacionados, mediante la medición de

un grupo de indicadores que se agrupan en cuatro categorías determinadas:

38

Financieras; Cliente; Procesos Internos; Innovación y Crecimiento (Santana, 2014).

Cobit 2019 considera 13 objetivos empresariales (figura 7).

Figura 7

Factor de diseño objetivos empresariales

Nota. (ISACA, Marco de referencia COBIT 2019: Introducción y Metodología, 2018)

3. Perfil de Riesgo de la empresa y los inconvenientes actuales relacionados con la

Información y Tecnología (figura 8).

Figura 8

Factor de diseño perfil de riesgo de TI


39

4. Problemas relacionados con la Información y la Tecnología que actualmente

impactan a la empresa; es decir, el riesgo que se ha materializado con respecto a TI

(figura 9).

Figura 9

Factor de diseño problemas relacionados con TI


5. Panorama de amenazas bajo el cual opera la empresa (figura 10); de tipo Normal

(Entorno con niveles de amenaza normales) y Alto (Entorno de amenazas elevadas,

debido a una situación geopolítica, sector industrial o perfil específico) (ISACA,

Marco de referencia COBIT 2019: Introducción y Metodología, 2018).

Figura 10

Factor de diseño panorama de amenazas


40

6. Requerimientos de cumplimiento requisitos que una empresa debe cumplir,

pueden ser de tipo bajos, normales y altos (figura 11).

Figura 11

Factor de diseño requerimientos de cumplimiento


7. Rol de TI para la empresa, puede clasificarse en Soporte, Fábrica, Cambio y

Estratégico (figura 12).

Figura 12

Factor de diseño rol de TI


8. Modelo de abastecimiento para TI que la empresa adopta, se puede clasificar en

Externalización/Tercerización (outsourcing), Nube, Internalizado (insourced) e

Híbrido (figura 13).

41

Figura 13

Factor de diseño modelo de abastecimiento para TI


9. Métodos de implementación de TI que la empresa puede utilizar, se clasifican en

Ágil, DevOps, Tradicional e Híbrido (figura 14).

Figura 14

Factor de diseño métodos de implementación de TI


10. Estrategia de adopción de tecnología de la empresa, la cual puede clasificarse en

El que primero se mueve (First mover); Seguidor (Follower) y adaptadores lentos

(Slow adopter) (figura 15).

Figura 15

Factor de diseño estrategia de adopción de tecnología


42

11. Tamaño de la empresa se identifican dos categorías Empresas Grandes

(predeterminada), Pequeñas y medianas empresas (figura 16).

Figura 16

Factor de diseño tamaño de la empresa


Cascada de Metas.

A partir de las necesidades de las partes interesadas se definen las metas

empresariales, la conversión de estas metas en prioridades, recaen en metas de

alineamiento y estas a su vez en una serie de objetivos de gobierno y gestión (figura

17). La cascada de metas permite la priorización de los objetivos con base en la

priorización de las metas institucionales (ISACA, Marco de referencia COBIT 2019:

Introducción y Metodología, 2018).

Figura 17

Cascada de metas de COBIT

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

43

1. Metas empresariales. - En COBIT 2019 las metas empresariales se han

consolidado, reducido y aclarado; se considera un conjunto de 13 metas

empresariales (Tabla 2), definidas con base a las dimensiones del Balanced

Scorecard, con la relación de una serie de métricas de ejemplo. Las metas

empresariales tienen un efecto en cascada con las metas de alineamiento.

Tabla 2

Metas y métricas empresariales

Referencia Dimensión del

BSC Meta

empresarial Métricas de ejemplo

EG01 Financiera

Portafolio de productos y servicios competitivos

- Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado - Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente - Porcentaje de productos y servicios que proporcionan una ventaja competitiva - Plazo de comercialización para nuevos productos y servicios

EG02 Financiera Gestión de riesgo de negocio

- Porcentaje de objetivos y servicios empresariales críticos cubiertos por la evaluación de riesgos - Tasa (ratio) de incidentes significativos que no se identificaron en la evaluación de riesgos frente al total de incidentes - Frecuencia adecuada de la actualización del perfil de riesgo

EG03 Financiera

Cumplimiento de leyes y regulaciones externas

- Coste de incumplimiento regulatorio, incluyendo liquidaciones y multas - Número de problemas de incumplimiento regulatorio que causan comentarios públicos o publicidad negativa - Número de problemas de incumplimiento señalados por los reguladores o autoridades supervisoras - Número de problemas de incumplimiento regulatorio en relación con acuerdos contractuales con socios empresariales

EG04 Financiera Calidad de la información financiera

- Encuesta de satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de

44


BSC Meta


la información financiera de la empresa - Coste de incumplimiento regulatorio con respecto a regulaciones financieras

EG05 Cliente

Cultura de servicio orientada al cliente

- Número de interrupciones del servicio al cliente - Porcentaje de partes interesadas del negocio satisfechas de que la prestación de servicios al cliente cumpla con los niveles de servicio acordados - Número de quejas de los clientes - Tendencia de los resultados de la encuesta de satisfacción al cliente

EG06 Cliente

Continuidad y disponibilidad del servicio del negocio

- Número de interrupciones del servicio al cliente o procesos empresariales que han causado incidentes significativos - Coste empresarial causado por los incidentes - Número de horas de procesamiento perdidas por el negocio debido a interrupciones inesperadas del servicio - Porcentaje de quejas en función de los objetivos de disponibilidad del servicio acordados

EG07 Cliente Calidad de la información de gestión

- Grado de satisfacción del consejo de administración y la dirección ejecutiva con la información para la toma de decisiones - Número de incidentes causados por decisiones erróneas de negocio basadas en información incorrecta - Tiempo que se tarda en proporcionar la información de soporte para permitir la toma de decisiones empresariales eficaces - Puntualidad en la entrega de la información de gestión

EG08 Interna

Optimización de la funcionalidad de procesos internos del negocio

- Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso del negocio - Niveles de satisfacción de los clientes con las capacidades de prestación de servicios - Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro

45


BSC Meta


EG09 Interna

Optimización de costes de los procesos del negocio

- Relación entre el coste y los niveles de servicio conseguidos - Niveles de satisfacción del consejo de administración y la dirección ejecutiva con los costes de proceso del negocio

EG10 Interna

Habilidades, motivación y productividad del personal

- Productividad del personal comparada con benchmarks - Nivel de satisfacción de las partes interesadas con los niveles de experiencia y habilidades del personal - Porcentaje de personal cuyas habilidades son insuficientes con respecto a la competencia requerida para sus funciones - Porcentaje de personal satisfecho

EG11 Interna Cumplimiento con las políticas internas

- Número de incidentes relacionados con el incumplimiento de la política -Porcentaje de las partes interesadas que entienden las políticas - Porcentaje de políticas respaldadas por estándares y prácticas de trabajo eficaces

EG12 Crecimiento

Gestión de programas de transformación digital

- Número de programas ejecutados a tiempo y dentro del presupuesto - Porcentaje de partes interesadas satisfechas con la ejecución del programa - Porcentaje de programas de transformación del negocio suspendidos - Porcentaje de programas de transformación del negocio con actualizaciones del estado notificadas periódicamente

EG13 Crecimiento Innovación de producto y negocio

- Nivel de conciencia y comprensión de las oportunidades de innovación del negocio - Satisfacción de las partes interesadas con los niveles de experiencia e ideas sobre innovación y productos - Número de iniciativas de productos y servicios aprobadas como resultado de ideas innovadoras

Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y

Metodología, 2018)

46

2. Metas de alineamiento. – Las metas empresariales tienen un efecto en cascada

con las metas de alineamiento (Tabla 3); estas metas destacan un alineamiento de

todo el trabajo de TI con los objetivos empresariales. Se determinan a partir de las

dimensiones del Balanced Scorecard con respecto a TI, junto a varias métricas de

ejemplo.

Tabla 3

Metas y métricas de alineamiento

Referencia Dimensión del BSC de

TI

Metas de alineamiento

Métricas

AG01 Financiera

Cumplimiento y soporte de I&T para el cumplimiento empresarial con las leyes y regulaciones externas

- Coste de incumplimiento de TI, incluidos liquidaciones y multas, y el impacto de la pérdida reputacional - Número de problemas de incumplimiento relacionados con TI notificados al consejo de administración o que causan comentarios o descrédito públicos - Número de problemas de incumplimiento en relación con acuerdos contractuales con los proveedores de servicios de TI

AG02 Financiera Gestión de riesgo relacionado con I&T

- Frecuencia adecuada de la actualización del perfil de riesgo - Porcentaje de las evaluaciones de riesgo empresarial, incluido el riesgo relacionado con I&T - Número de incidentes significativos relacionados con I&T que no se identificaron en la evaluación de riesgos

AG03 Financiera

Beneficios obtenidos del portafolio de inversiones y servicios relacionados con I&T

- Porcentaje de inversiones posibilitadas por I&T en las que los beneficios previstos se cumplen o exceden - Porcentaje de servicios de I&T para los que se han logrado los beneficios esperados (indicados en los acuerdos de nivel de servicio)

AG04 Financiera

Calidad de la información financiera relacionada con la tecnología

- Satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de la información financiera de TI - Porcentaje de servicios de I&T con

47


TI


Métricas

costes operativos claramente definidos y aprobados y beneficios esperados

AG05 Cliente

Prestación de servicios de I&T conforme a los requerimientos del negocio

- Porcentaje de partes interesadas del negocio satisfechas con que la prestación de servicios de TI cumpla con los niveles de servicio acordados - Número de interrupciones del negocio debido a incidentes de servicios de TI - Porcentaje de usuarios satisfechos con la calidad de la prestación de servicios de TI

AG06 Cliente

Agilidad para convertir los requerimientos del negocio en soluciones operativas

- Nivel de satisfacción de los ejecutivos de negocios con la capacidad de respuesta de TI a los nuevos requisitos - Promedio de plazo de comercialización para servicios y aplicaciones nuevos relacionados con las I&T - Tiempo promedio para convertir los objetivos estratégicos de I&T en una iniciativa acordada y aprobada - Número de procesos de negocio críticos soportados por infraestructura y aplicaciones actualizadas

AG07 Interna

Seguridad de la información, infraestructura y aplicaciones de procesamiento y privacidad

- Número de incidentes de confidencialidad que causan pérdidas financieras, interrupción del negocio o descrédito público - Número de incidentes de disponibilidad que causan pérdidas financieras, interrupción del negocio o descrédito público - Número de incidentes de integridad que causan pérdidas financieras, interrupción del negocio o descrédito público

AG08 Interna

Habilitar y dar soporte a procesos de negocio mediante la integración de aplicaciones y tecnología

- Plazo para la ejecución de servicios y procesos empresariales - Número de programas empresariales facilitados por I&T retrasados o que incurren en costes adicionales debido a problemas de integración tecnológica - Número de cambios en los procesos de negocio que se deben aplazar o revisar debido a problemas de integración tecnológica - Número de aplicaciones o

48


TI


Métricas

infraestructuras críticas que operan en silos y no están integradas

AG09 Interna

Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplen con los requisitos y estándares de calidad

- Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto - Número de programas que necesitan una revisión significativa debido a defectos de calidad - Porcentaje de partes interesadas satisfechas con la calidad del programa/proyecto

AG10 Interna Calidad de la información sobre gestión de I&T

- Nivel de satisfacción del usuario con la calidad, puntualidad y disponibilidad de la información de gestión relacionada con I&T, tras considerar los recursos disponibles - Relación y extensión de las decisiones de negocio erróneas en las que la información errónea o no disponible relacionada con I&T fue un factor clave - Porcentaje de información que satisface los criterios de calidad

AG11 Interna Cumplimiento de I&T con las políticas internas

- Número de incidentes relacionados con el incumplimiento de las políticas relacionadas con TI - Número de excepciones a las políticas internas - Frecuencia de revisión y actualización de la política

AG12 Aprendizaje y crecimiento

Personal competente y motivado con un entendimiento mutuo de la tecnología y el negocio

- Porcentaje de empresarios con dominio de I&T (es decir, aquellos que tienen los conocimientos y comprensión de I&T requeridos para guiar, dirigir, innovar y ver las oportunidades de I&T en su área de experiencia) - Porcentaje de empresarios con dominio de TI (es decir, aquellos que tienen los conocimientos y comprensión de los dominios importantes del negocio requeridos para guiar, dirigir, innovar y ver las oportunidades de I&T para su ámbito empresarial) - Número o porcentaje de empresarios con experiencia en gestión de tecnología

49


TI


Métricas

AG13 Aprendizaje y crecimiento

Conocimiento, experiencia e iniciativas para la innovación empresarial

- Nivel de conciencia de los ejecutivos de negocios y comprensión de las posibilidades de innovación de las I&T - Número de iniciativas aprobadas como resultado de ideas innovadoras de I&T - Número de campeones en innovación reconocidos/premiados

Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Introducción y

Metodología, 2018)

Estructura de Objetivos de Gobierno y Gestión

Para la estructura de objetivos de Gobierno, COBIT® 2019 incluye 40 objetivos

de gobierno y gestión, organizados en cinco dominios:

• Dominio de Gobierno

1. Evaluar, Dirigir y Monitorizar (EDM en inglés)

• Dominios de Gestión

2. Alinear, Planificar y Organizar (APO)

3. Construir, Adquirir e Implementar (BAI)

4. Entrega, Dar Servicio y Soporte (DSS)

5. Monitorizar, Evaluar y Valorar (MEA)

En la Figura 18 se muestra la información general detallada para cada objetivo.

Figura 18

Presentación de objetivos de gobierno y gestión

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

50

• Nombre del dominio

• Área prioritaria (en el caso de esta publicación, se trata del modelo Core de COBIT)

• Nombre del objetivo de gobierno o gestión

• Descripción

• Declaración de propósito

Gestión del Desempeño en COBIT

La gestión de desempeño en COBIT (CPM, por sus siglas en inglés) hace

referencia a todas las actividades y métodos para determinar el correcto funcionamiento

de todo el sistema de gobierno y gestión, incluyendo términos de mejora para alcanzar

un nivel requerido. Se incluye conceptos de niveles de capacidad como de madurez, y

se basa en los siguientes principios:

1. Debe entenderse y usarse de manera sencilla.

2. Debe ser consistente y apoyar el modelo conceptual de COBIT; debería facilitar la

gestión del desempeño de cualquier tipo de componente del sistema de gobierno.

2. Debe proporcionar resultados confiables, repetibles y relevantes

3. Debe ser flexible, para brindar soporte a los distintos requerimientos de diversas

organizaciones

4. Debe permitir distintos tipos de evaluaciones, como autoevaluaciones, evaluaciones

formales o auditorias.

Gestión del desempeño de los procesos.

Niveles de capacidad del proceso

COBIT 2019 incluye un esquema de capacidad de procesos basado en CMMI,

Integración del modelo de madurez de capacidades (CMMI por sus siglas en inglés,

51

Capability Maturity Model Integration), un conjunto de mejores prácticas globales que

impulsa el rendimiento de una empresa mediante la creación y evaluación comparativa

de capacidades clave. El modelo CMMI apoya a las organizaciones a entender su nivel

actual de capacidad y rendimiento. (CMMI, 2019).

El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con

distintos niveles de capacidad, con valores desde 0 hasta 5 (figura 19). Un nivel de

capacidad tiene una característica específica e indica la medida de la correcta

implementación y funcionamiento de un proceso.

Un proceso alcanza un determinado nivel de capacidad, en el caso que todas las

actividades correspondientes se desempeñen de manera satisfactoria. (ISACA, Marco

de referencia COBIT 2019: Introducción y Metodología, 2018).

Figura 19

Niveles de Capacidad para los procesos


52

El grado de calificación para un nivel de capacidad depende del contexto en el

que se realiza el desempeñó; incluye métodos formales como calificaciones binarias de

aprobado/falla y métodos informales con una serie de calificaciones más amplio, como

valores del conjunto completamente/largamente/parcialmente/no.

Niveles de madurez del área prioritaria

Existen escenarios en los cuales es necesario un nivel más alto para definir el

desempeño del proceso; por lo que, COBIT 2019 define los niveles de madurez como

una medida de desempeño a nivel del área prioritaria (figura 20). Los niveles de

madurez se asocian con áreas prioritarias y se alcanza un determinado nivel de

madurez si todos los procesos que intervienen en el área prioritaria alcanzan ese nivel

de capacidad especifico.

Figura 20

Niveles de Madurez para áreas prioritarias


53

Diseño e Implementación de un Sistema de Gobierno de TI

Para el diseño e implementación del sistema de Gobierno de TI en la Dirección

de Tecnologías de la Información y Comunicación (DTIC), nos enfocaremos en los 4

aspectos principales que nos brinda el modelo de Gestión COBIT 2019.

La metodología de gestión COBIT nos brinda distintas etapas y pasos del

proceso de diseño, como se visualizar en la figura 21, los cuales inician con diversas

recomendaciones para priorizar los objetivos de gobierno y gestión o componentes del

sistema de gobierno relacionados con estos, para alcanzar niveles de capacidad, o para

adoptar variantes específicas de un componente del sistema de gobierno. (ISACA,

Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Figura 21

Diseño de un sistema de Gobierno de TI

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Algunos de estos pasos o subpasos podría derivar en recomendaciones

contradictorias, lo cual es inevitable cuando se consideran un gran número de factores

54

de diseño, la naturaleza genérica en su conjunto de la guía de factores de diseño y las

tablas de asignación utilizadas.

Si se logran adaptar dichos pasos previamente mencionados la Dirección de

Tecnologías de la Información y Comunicación (DTIC) logrará contar con un sistema de

gobierno adaptado a sus necesidades. (ISACA, Diseño de una solución de Gobierno de

Información y Tecnología, 2018)

Paso 1: Entender el contexto y estrategia de la empresa

En el primer paso, la empresa examina su contexto, estrategia y entorno de

negocio para lograr un mayor conocimiento de cuatro dominios parcialmente

superpuestos, interdependientes y, a menudo, complementarios. Las siguientes

subsecciones describen los subpasos críticos del paso 1:

• Estrategia empresarial

• Metas empresariales y metas de alineamiento derivadas

• Perfil de riesgo de I&T

• Problemas actuales relacionados con I&T

Paso 2: Determinar el alcance inicial del sistema de gobierno

Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la

información recopilada durante el paso 1. Los valores derivados para la estrategia

empresarial, las metas empresariales, el perfil de riesgo y los problemas relacionados

con I&T se traducen en una serie de componentes de gobierno priorizados para

producir el sistema inicial de gobierno personalizado para la empresa.

Paso 3: Perfeccionar el alcance del sistema de gobierno

El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del

sistema de gobierno con base en el conjunto de factores de diseño restantes, conforme

se define en las secciones detalladas anteriormente. A lo largo de este capítulo, no

55

todos los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no

aplicables pueden ignorarse.

En este paso, el diseñador del sistema de gobierno explicará cada factor de

diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa.

1. Determinará si cada factor de diseño puede aplicarse o no.

2. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o

qué combinación de valores posibles) es más aplicable a la empresa. Descripciones

de referencia de los valores de factores de diseño aplicables, junto con las tablas de

asignación de los apéndices F a K, para determinar qué refinamientos del sistema

de gobierno están asociadas a estos valores.

El resultado de cada consideración de un factor de diseño es una lista

clasificada de objetivos de gobierno y gestión, similar al resultado obtenido en el paso 2.

Con las tablas de asignación de los apéndices F a K, se pueden usar las mismas

técnicas y escalas, como se describió anteriormente.

Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno

Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de

los pasos anteriores para finalizar el diseño del sistema de gobierno, como se muestra

en la figura 22. El sistema de gobierno resultante debe reflejar una cuidadosa

consideración de todas las entradas; entender que estas entradas podrían en ocasiones

presentar conflicto.

56

Figura 22.

Paso 4 del diseño del sistema de gobierno—Conclusión

Nota. (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018) Marco de referencia ITIL

Infraestructure Library® (ITIL®) es el referente más conocido y aceptado

actualmente para la gestión de servicios de tecnologías de la información (en inglés IT

Service Management, ITSM). La versión actual de ITIL 2019 es el más completo de los

referentes de ITSM y se centra en el ciclo de vida de la gestión de servicios. (FLORES,

2017).

Es un conjunto de conceptos y mejores prácticas referentes a la gestión de

servicios de tecnologías de la información (TI), y cómo puede alinearse mejor con los

procesos empresariales, describe detalladamente un extenso conjunto de funciones y

procesos ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las

operaciones de TI. (Juárez, 2010)

Por lo que hemos visto adecuado basarnos en las buenas prácticas que esta

metodología nos brinda, para este breve desarrollo nos hemos enfocado en el Ciclo

Deming (figura 23), el cual fundamenta su principio en la mejora continua de los

procesos, columna vertebral del Ciclo de Vida del Servicio propuesto por ITIL. (Juan

57

Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco

Quintero, 2017)

Cabe recalcar que ITIL provee una guía y no un manual paso a paso de cómo

hacerlo. La implementación de los procesos ITIL variará según los requerimientos de

cada organización. (Huércano, 2018)

Figura 23

Ciclo de vida de los servicios basado en el Ciclo de Deming

Nota. (Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)

58

Capitulo III

Análisis de la situación actual de TI y aplicación de COBIT

Análisis empresarial

El presente capítulo inicia con una breve descripción de la Dirección de

Tecnologías de la Información y Comunicación (DTIC), con base en los documentos

Manual de Puestos de la DTIC 2019-2021 y Plan Operativo Interno DTIC 2019, y se

procede con el diseño de una solución de gobierno de información y tecnología.

Antecedentes.

Dentro del PROYECTO INTEGRADOR DEL COAAS 36 del año 2019, como

parte de los antecedentes generales se describe con respecto a las TICs:

Las TICs aplicadas a la Defensa tienen características especiales que las

hacen distintas, por lo que para aplicarlas e implementarlas se deben entrelazar:

la planificación estratégica militar institucional y el empleo de las

Comunicaciones, Sistemas Informáticos, Guerra Electrónica y Seguridad de la

Información, fuertemente ligadas entre sí para aportar al incremento de la

Capacidad Estratégica de Mando y Control, a fin de contribuir principalmente al

desarrollo del objetivo estratégico de Incrementar las Capacidades Militares.

(CAPT DE COM PAREDES RODRIGUEZ & CAPT DE COM PRADO MÉNDEZ,

2019)

En cumplimiento a la NORMA TÉCNICA DE ADMINISTRACIÓN POR

PROCESOS No. 1580, el 03/01/2018 se expidió el ESTATUTO ORGÁNICO DE

GESTIÓN ORGANIZACIONAL POR PROCESOS DE LA FUERZA TERRESTRE;

dentro de los procesos descritos para Gestión de tecnologías de la información y

comunicaciones, se crea la DTIC como proceso de apoyo.

59

Es así como, la Fuerza Terrestre a través de la Dirección de Tecnologías de la

Información y Comunicación (DTIC), realiza la gestión de los sistemas de información y

comunicaciones, al igual que de la seguridad tecnológica y del desarrollo de aplicativos

informáticos que automatizan los procesos críticos de la institución.

Organización.

Propósito

La DTIC tiene como fin proporcionar apoyo de comunicaciones, sistemas de

información, seguridad de la información digital y guerra electrónica; desarrollando,

instalando, explotando, manteniendo y protegiendo las redes de comunicaciones y

sistemas de información que requiere el Ejército en todo el territorio nacional, en forma

permanente, para el efectivo ejercicio del mando y control de las operaciones militares.

Misión

Gestionar las Tecnologías de la Información y Comunicaciones, mediante la

gestión de comunicaciones e informática; diseño y desarrollo de proyectos; y, seguridad

tecnológica, para incrementar la Capacidad Operativa de Mando y Control, a fin de

contribuir al direccionamiento estratégico, al desarrollo de las capacidades militares

terrestres y apoyo al Desarrollo Nacional.

Sistema de Valor

El sistema de valor hace referencia al hecho de que, la cadena de valor de una

organización forme parte de un mayor conjunto de actividades; por lo tanto, desde el

punto de vista funcional, una organización representa una serie de actividades, el

entendimiento y el correcto funcionamiento de estas, favorece la consecución de los

objetivos estratégicos (López Ibarra, s.f.). En la Figura 24, se muestra el sistema de

valor de la DTIC.

60

Figura 24

Sistema de Valor de la DTIC

Nota. Adaptado de (DTIC, 2019)

Estructura Organizacional

En la actualidad la Dirección de Tecnologías de la Información y Comunicación

(DTIC), se encuentra dirigida y administrada por el director el CRNL. EMC. VALLEJO

L.M. DAVID. Se encuentra conformada de una Subdirección y bajo su coordinación tres

departamentos: GESTIÓN DE COMUNICACIONES E INFORMÁTICA, PROYECTOS

TIC y SEGURIDAD TECNOLÓGICA.

De acuerdo con el Manual de Puestos de la DTIC 2019-2021, la DTIC se

encuentra integrada por 70 personas entre las cuales se encuentran Oficiales,

Voluntarios y Servidores Públicos, distribuidos en los tres departamentos (figura 25).

61

Figura 25

Sistema de Valor de la DTIC

Nota. Adaptado de (DTIC, 2019)

Las responsabilidades principales y los propósitos de los diferentes

departamentos son (DTIC, 2019):

I. Dirección: La responsabilidad principal es el direccionamiento estratégico de

comunicaciones e informática para el adecuado funcionamiento de los procesos

de planificación, proyectos, y seguimiento y evaluación de la DTIC.

II. Subdirección: La responsabilidad principal es la coordinación del trabajo de los

departamentos de planificación, proyectos, y seguimiento y evaluación en base a

las directrices y políticas dadas por la dirección.

III. Gestión de Comunicaciones e Informática: El propósito es realizar la

planificación para dirigir el desarrollo y fortalecimiento de las comunicaciones,

62

sistemas informáticos, guerra electrónica y seguridad de la información en la

Fuerza Terrestre, en coordinación con el AGRUCOMGE, mediante la

planificación y evaluación técnica para incrementar los niveles de eficacia

institucional, a fin de fortalecer la capacidad estratégica de Mando y Control.

IV. Proyectos TIC: El propósito es realizar estudios técnicos; ejecutar proyectos de

comunicaciones, sistemas informáticos, guerra electrónica, seguridad de la

información; e, implementar software aplicativo personalizado en el ámbito militar,

mediante el desarrollo de comunicaciones y desarrollo informático, para

incrementar los niveles de eficacia institucional, a fin de fortalecer la capacidad

operativa de Mando y Control.

V. Seguridad Tecnológica: El propósito es implementar el Esquema de Gestión de

Seguridad de la Información Digital (EGSED), gestionar riesgos, proporcionar

soporte de seguridad digital y comunicaciones; a fin de garantizar la

confidencialidad, integridad, legalidad y disponibilidad de la información;

mediante la gestión de seguridad digital y administración de incidentes, para

incrementar la eficacia de Ciberseguridad en la F.T

Procesos

Cada una de las unidades que componen la estructura orgánica de la DTIC,

disponen de un manual del proceso, en el cual se describe las características del

proceso correspondiente, junto a los lineamientos, mapa de interrelación, descripción de

los subprocesos y los indicadores que permiten cuantificar el desempeño del proceso.

En la Tabla 4 se resume los procesos que actualmente se encuentran levantados en la

DTIC.

63

Tabla 4

Procesos de la DTIC

CÓDIGO PROCESO TIPO SUBPROCESO PRODUCTOS

G.T.I.C 1 GESTIÓN DE COMUNICACIONES E INFORMÁTICA

Adjetivo de

Apoyo

1. Planificación. 2. Evaluación Técnica

Plan de las TICS

Diagnóstico del material y medios de las TICS

Diagnóstico del personal de arma y especialista de comunicaciones

Directrices de las TICS

Estándares de las TICS

Norma de gestión del sistema de comunicaciones de la F.T

Plan de mejoramiento de las metodologías de la DTIC

Informes técnicos de las TICS

G.T.I.C 2 PROYECTOS

Adjetivo de

Apoyo

1. Desarrollo de Comunicaciones. 2. Desarrollo Informático.

Estudios de asesoría en telecomunicaciones

Estudios de ingeniería en telecomunicaciones:

Estudios de requerimientos de Informática

Estudios de requerimientos de telecomunicaciones

Proyectos de Comunicaciones, Guerra Electrónica, Informática, seguridad Informática y metrología

Software aplicativo y manuales del Sistema Integrado de la F.T. (SIFTE)

G.T.I.C 3 SEGURIDAD TECNOLÓGICA

Adjetivo de

Apoyo

1. Gestión de Seguridad Digital. 2. Administración de Incidentes de Seguridad Informática. 3. Seguridad de Comunicaciones

Seguridad de la información digital

Informe de incidentes de seguridad informática

Informe de soporte de seguridad

Plan de Contingencias de Tecnología

Plan de Continuidad de servicios TIC

Procedimientos para implementar los dominios del esquema de seguridad digital

Plan de tratamiento de riesgos de seguridad de la información

Seguridad de comunicaciones

Nota. Recuperado de Manuales de Proceso DTIC 2019

64

Sistema Integrado de la Fuerza Terrestre (SIFTE)

Para facilitar la gestión de datos de las diferentes áreas funcionales, la Fuerza

Terrestre dispone de la herramienta corporativa militar SIFTE (figura 26), que integra los

subsistemas y aplicativos en un único sistema, que permite disponer de información

integra y oportuna para la toma de decisiones; además provee las seguridades

informáticas necesarias para el acceso y manejo confiable de la información.

Figura 26

Sistema Integrado de la Fuerza Terrestre (SIFTE)

Nota. Adaptado de sitio Web https://portal.ejercito.mil.ec/Menu/nxcvbnh.do

Los componentes de la infraestructura informática que soporta el SIFTE son:

• Servidores de Bases de Datos.- Configurados para los ambientes de desarrollo,

pruebas, producción y standby.

• Servidores de Aplicaciones.- Servidores para alojar 53 aplicaciones del SIFTE,

entre las cuales se encuentran los subsistemas de logística, educación, académico,

ingreso, etc.

• Sistema de Almacenamiento.- Proporciona espacio físico para el almacenamiento

de información e instalación de sistemas operativos de servidores de base de datos,

aplicaciones y gestión documental.

• Sistema de Respaldo.- De la información de todos los servidores.

https://portal.ejercito.mil.ec/Menu/nxcvbnh.do

65

• Centro de datos, redes y equipos activos.- El Centro de datos es el espacio físico

ubicado en el subsuelo de la Comandancia General del Ejército, donde se

encuentran instalados los recursos informáticos que se han descrito; el centro de

datos garantiza medidas de seguridad y proporciona conectividad entre los

diferentes servidores.

Levantamiento de Servicios de TI de la DTIC

Adicional a la implementación del modelo de gestión COBIT 2019, se ha

realizado un trabajo de la mano, mismo que ha consistido en el levantamiento de los

servicios brindados por parte de la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC); se identificó que actualmente manejan ciertos servicios de TI

que no se han venido llevando de una forma adecuada, puesto que al levantar la

información se pudo verificar que durante varios años, la DTIC ha venido manejado una

estructura de servicios acorde con las exigencias que se han presentado.

Sin embargo, en la actualidad enmarcada en múltiples sucesos de orden social,

político, cultural y económico, hace que la DTIC se vea abocada a cambiar en lo que

respecta a competitividad, mejoramiento continuo, entre otros aspectos; pero sobre todo

en el uso eficiente de las Tecnologías de la Información y las Comunicaciones (TIC).

(Luisa Fernanda Quintero Gómez, Hernando Peña Villamil, 2017)

Es este sentido y para dar respuesta a esta necesidad, las áreas de TI deben

enfocarse en la implementación o reingeniería de procesos con los cuales se puedan

ofrecer mejores servicios de TI, dejando atrás el típico modelo reactivo de respuesta a

fallas, con el propósito de pasar a desempeñar una función más proactiva en la

planificación, la supervisión y la gestión de los servicios de TI.

66

Por tal motivo, el propósito de la presente propuesta se basa en el desarrollo de

un modelo basado en ITIL para la Gestión de los Servicios de TI en la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC), cuya área de TI no es la

excepción ante esta problemática.

Fases de implementación Metodología ITIL

Fase I.- Diagnóstico de la situación actual

Para el desarrollo de este trabajo se realizó un diagnóstico de la situación actual

de los procesos de TI llevados a cabo en la Dirección de Tecnologías de la Información

y Comunicaciones (DTIC). La DTIC al momento brinda una serie de servicios que se

han implementado en función a las necesidades que se van presentando en el día a

día, por lo cual se ha visto necesario implementar un modelo basado en ITIL, mismo

que es un marco de referencia que brinda buenas prácticas de cómo llevar los servicios

en función a los niveles de servicio que se puedan acordar en función a las soluciones

brindadas a los usuarios.

Tabla 5

Servicios de TI ofertados por la DTIC

Servicios Nombre del Servicio

Servicio 1 Servicio de Aplicaciones

Servicio 2 Servicio de Gestor Documental

Servicio 3 Servicio de Desarrollo de Software

Servicio 4 Servicio de Herramientas de desarrollo de Reportería

Servicio 5 Servicio de Control de Calidad

Servicio 6 Servicio de Base de Datos

Servicio 7 Servicio de Administración de la LAN

Servicio 8 Servicio de Administración de la WAN

Servicio 9 Servicio de TELEFONIA IP/CONMUTACIÓN

Servicio 10 Servicio de Video Conferencia

Servicio 11 Servicio de Correo Electrónico

Servicio 12 Servicio de Administrador de Servidores

Servicio 13 Servicio de Almacenamiento físico de Servidores

Servicio 14 Servicio de Seguridad de la información digital

Servicio 15 Servicio de Administración UTM

Servicio 16 Servicio de Servicio Seguridad Dominio

67

Al momento la Dirección de Tecnologías de la Información y Comunicaciones

(DTIC) cuenta con 16 servicios (Tabla 5), en los cuales al realizar el diagnóstico inicial

se pudo identificar que no cuenta con niveles de atención y de solución de incidentes,

que permitan determinar su índice de satisfacción a sus usuarios.

Una vez realizado el diagnóstico inicial de los procesos manejados por la DTIC se

inició la siguiente fase.

Fase II.- Mapeo de niveles de madurez de los procesos

En esta fase se realiza una evaluación del nivel de madurez de los servicios

ofertados por la DTIC, usando como base la escala de los niveles de madurez que se

detalla en la Tabla 6; posteriormente se realiza un mapeo según el estándar ITIL y los

procesos de los servicios de TI de la DTIC, con el fin de establecer el nivel de madurez

de los mismos con respecto a ITIL y así determinar los elementos prioritarios de ITIL

aplicables a la institución. (S.L., 2019), (Quintero Gómez & Peña Villamil, 2017).

Tabla 6

Mapeo de los niveles de madurez de los servicios de la DTIC

Calificación Nivel de madurez Descripción % De

Cumplimiento

0

Incompleto Los servicios no se realizan, o no consiguen sus objetivos

0%

1

Ejecutado Los servicios se ejecutan, lográndose los objetivos específicos.

20%

2

Gestionado

Los servicios, además de ser "ejecutados", se planifican, revisan y evalúan para comprobar que cumplen con los requisitos.

40%

3

Definido

Los servicios, además de ser "gestionados", se ajustan al conjunto de procesos estándar conforme a las directivas de la organización.

60%

68

Calificación Nivel de madurez Descripción % De

Cumplimiento

4

Gestionado Cuantitativamente

Servicios “definidos” y controlados con técnicas estadísticas u otras

técnicas cuantitativas.

80%

5

Optimizado

Servicios "gestionados cuantificadamente” que son

cambiados y adaptados para conseguir objetivos relevantes de

negocio.

100%

Nota. Recuperado de (Quintero Gómez & Peña Villamil, 2017)

En función a la matriz de los niveles de madurez definidos por ITIL, realizamos la

evaluación de los servicios de la DTIC donde pudimos conocer que sus procesos no se

encuentran bien definidos, puesto que los mismos se manejan acorde a las

necesidades que van surgiendo; a continuación, se presentaran los resultados

obtenidos una vez realizada la evaluación (Tabla 7).

Fase III.- Implementación de solución para mejorar los procesos de los servicios

actuales

En función a los resultados obtenidos se ha podido identificar que es adecuado

realizar varios ajustes a los procesos de los servicios de la DTIC, como punto principal es

necesario aplicar un modelo de gestión de los servicios levantados, para lo cual la

propuesta se basa en los siguientes puntos:

1. Se diseño el formato basado en el modelo de gestión de servicios de ITIL (Tabla 8),

donde se obtiene la información más relevante de cada uno de los servicios de TI

actuales, donde se analiza las funciones notables, los entregables y los niveles de

solución.

69

Tabla 7

Evaluación de servicios de la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC)

EVALUACIÓN DE MADUREZ – SERVICIOS DE LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES (DTIC)

SERVICIOS DE LA DIRECCIÓN DE

TECNOLOGÍAS DE LA INFORMACIÓN Y

COMUNICACIONES

(DTIC)

NIVELES DE MADUREZ

Nivel de madurez

actual

NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4 NIVEL 5

¿Los servicios no se realizan, o no consiguen sus objetivos?

¿Los servicios se ejecutan, lográndose los objetivos específicos?

¿Los servicios, además de ser "ejecutados", se planifican, revisan y evalúan para comprobar que cumplen con los requisitos?

¿Los servicios, además de ser "gestionados", se ajustan al conjunto de procesos estándar conforme a las directivas de la organización?

¿ Servicios “definidos” y controlados con técnicas estadísticas u otras técnicas cuantitativas?

¿ Servicios "gestionados cuantifi-cadamente” que son cambiados y adaptados para conseguir objetivos relevantes de negocio?

Aplicaciones X 1

Gestor Documental X 1 Desarrollo de Software

X 1

Herramientas de desarrollo de Reportería

X 1

Control de Calidad X 1

Base de Datos X 1

Administración de la LAN X 1

Administración de la WAN X 1

Telefonía IP/conmutación

X 1

Video Conferencia X 1

Correo Electrónico X 1

Administración de Servidores

X 1

Almacenamiento físico de Servidores

X 1


X 1

Administración UTM

X 1

Seguridad de Dominio

X 1

70

Tabla 8

Formato diseñado para el levantamiento de los servicios de TI de la DTIC

DETALLE DEL SERVICIO

Código No Definido

Nombre Infraestructura Servidores

Descripción

Brindar el equipamiento físico y virtual necesario para el funcionamiento de los aplicativos del sistema integrado de la Fuerza Terrestre (SIFTE)

Estado Activo – Operativo

Versión 01

Fecha puesta en operación 2007-2008

Fecha finalización En Funcionamiento Actualmente

Contacto Soporte EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana) (02) 3332 191

Contacto para modificaciones EMPRESA SINETCOM S.A. (Ing. Antonio Bassignana) (02) 3332 191

Propietario Dirección de Tecnologías de la Información y Comunicaciones de la Fuerza Terrestre (DTIC)

Clientes Toda la Fuerza Terrestre

INTRODUCCIÓN

El equipamiento de servidores que en la actualidad está dotado la fuerza terrestre es de una arquitectura RISC.

ALCANCE

Proceso Inicia con: a) Inicia con una planificación anual según contrato con la empresa que provee el mantenimiento y soporte técnico.

b) Coordinación con la empresa que brinda el soporte y mantenimiento para realizar los trabajos de mantenimiento de equipos y diagnósticos de los mismos.

c) Ejecución de los trabajos en los meses propuestos.

Proceso Termina con: a) Recepción del trabajo de mantenimiento y diagnóstico de equipos en el sitio en donde se produjo el inconveniente

b) Evaluación del funcionamiento de los equipos de acuerdo a los análisis que realizan los técnicos de la empresa.

c) Recepción de informes de diagnóstico y mantenimiento, o sustitución de hardware de equipos, que son entregados por parte de la empresa que realiza los trabajos

OBJETIVO

Mantener los servidores operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares

SERVICIO CONTIENE

71

a) Existe una planificación de actualización de equipos. b) Existe planificación de mantenimientos y diagnóstico de equipos

EXCLUSIONES

Mantenimiento de aplicaciones

CARACTERISTICAS GENERALES

Responsables a) Tcrn. Rodríguez Luis b) Sgos. Escudero Fernando

Clientes a) Todo el personal de la Fuerza Terrestre

Servicios Relacionados a) Base de Datos b) Aplicaciones c) Desarrollo de Software

Entradas a) Requerimientos de Licenciamiento software y

hardware. b) Requerimientos de adquisición de partes de Equipos.

Entregables

a) Informes de diagnóstico de equipos trimestralmente. b) Informes de mantenimiento de hardware anualmente. c) Entrega de partes y equipos en función al

requerimiento

Funciones

a) Actualización de Software b) Actualización de Licenciamiento c) Cambio de partes. d) Monitoreo de Servidores (Diario) e) Generación de informes de estado servidores previo

pedido de la unidad Informática f) Manuales de equipos

ESPECIFICACIONES

Configuración Se realiza la instalación de sistemas Operativos, base de datos, servidores de aplicaciones

Restricciones Adquisición de licenciamiento de base de datos Oracle

Elementos Tecnológicos

a) Servidores Fujitsu Siemens (Se cuenta con 7 servidores)

b) Cuchillas Blade Fujitsu Siemens (Se cuenta con 4). c) Switches SAM (Se cuenta con 2). d) Balanceador de Carga (Citrix). e) DataDomain Servidor de Respaldos

Nivel de Servicio Alta

Horarios

a) El servicio se encuentra activo las 24 horas al día los 7 días de la semana

b) En mantenimientos el servidor queda inactivo 4 horas en el año

REQUERIMIENTOS DE SOPORTE Y TIEMPOS DE RESPUESTA

Nivel de servicio

Tiempo Respuesta Incidentes: No tiene Definido

Tiempo resolución incidentes: No tiene Definido depende complejidad puede llegar a tardar hasta 8 días

Tiempo escalamiento: No tiene Definido hasta tomar contacto con empresa SINETCOM

72

Nivel de soporte

Tiempo Respuesta Incidentes No tiene Definido

Tiempo resolución No tiene Definido

Tiempo escalamiento No tiene Definido

ESCALAMIENTO DEL SERVICIO

Nivel 1 Alta: Tcrn. Rodríguez Luis

Nivel 2 Media: Tcrn. Rodríguez Luis

Nivel 3 Baja: Sgos. Escudero

2. Una vez realizado el levantamiento de cada uno de los servicios, se definió un flujo

utilizando la herramienta BIZAGI, de cómo se está manejando en la actualidad cada

servicio y así poder manejar un estándar que permita justificar su manejo de una

forma adecuada (figura 27).

Figura 27

Proceso de Infraestructura Servidores

3. Como siguiente paso se realizó el análisis de los niveles de impacto de los servicios

técnicos, donde se han definido tres niveles de impacto que serán de mucha utilidad

para el análisis.

• Nivel de servicio bajo. - Las actividades o servicios técnicos que ofrece el

departamento tecnológico cumplen con un porcentaje de servicio mayor al 70% de

su atención, no presentarán mayor problema.

73

• Nivel de servicio medio. - Las actividades o servicios técnicos que ofrece el

departamento tecnológico cumplen con un porcentaje entre el 40% y 70% de

atención, las cuales se ajustarán de acuerdo con los requisitos de los usuarios.

• Nivel de servicio urgente. - Los servicios técnicos que ofrece el departamento

tecnológico cumplen con una proporción mínima o igual al 40% de su atención,

serán realizados desde un mejor esquema, brindando mayor importancia a los

mismos, con tiempos de respuesta óptimos.

4. El siguiente paso que se realizó para mejorar los procesos de servicios de TI

actuales, es el análisis de SLA’s o acuerdos de servicios, definidos en función a los

diferentes tipos de necesidades, ya sean estos incidentes o requerimientos, para lo

cual se comprende como actualmente se reciben los requerimientos e incidentes de

los usuarios y se definió la Tabla 9, para parametrizar cada uno de los niveles de

servicios:

Tabla 9

Niveles de servicio SLA’s

NIVEL SLA HORAS / DÍAS LABORABLES

Incidencias SLA 01 1 HORAS





Requerimiento SLA 01 8 HORAS -> 1 DÍA

Requerimiento SLA 02 16 HORAS -> 2 DÍAS




74

Finalmente se documentan los servicios de TI de la DTIC, se les agrega mejoras

como la definición de SLA’s para establecer acuerdos de servicio, en función al impacto

que los mismos lleguen a tener dentro de la institución.

Con esta implementación la Dirección de Tecnologías de la Información y

Comunicaciones (DTIC) podrá mantener los procesos de los servicios de TI

actualizados en función al modelo basado en ITIL, esto permitirá a la Institución tener un

mejor manejo de las TIC y sustentar la gestión que se realiza dentro del Ejercito del

Ecuador.

Diseño de un Sistema de Gobierno Personalizado

COBIT 2019 propone un flujo para el diseño de un sistema de gobierno

personalizado, el flujo contiene 4 etapas con una serie de pasos cada una (figura 28),

los cuales resultarán en recomendaciones para conseguir un sistema de gobierno

adaptado a las necesidades de la DTIC. Las 4 etapas del diseño del sistema de

gobiernos son las siguientes (ISACA, Diseño de una solución de Gobierno de

Información y Tecnología, 2018):

1. Entender el contexto y estrategia de la empresa

2. Determinar el alcance inicial del sistema de gobierno

3. Perfeccionar el alcance del sistema de gobierno

4. Resolver conflictos y finalizar el diseño del sistema de gobierno

75

Figura 28

Flujo de trabajo del diseño del sistema de gobierno


PASO 1: Entender el contexto y estrategia de la empresa.

El diseño del sistema de gobierno inicia con la definición del contexto general de

la empresa, para alcanzar un mayor conocimiento de la estrategia, metas

empresariales, perfil de riesgo de I&T y problemas actuales relacionados con I&T

(ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018).

Estrategia Empresarial

A inicios del año 2019 y con base a los objetivos estratégicos planteados por el

Comando General de la Fuerza Terrestre, la DTIC define 20 estrategias para la

consecución de objetivos. En la Tabla 10, se indican las estrategias definidas por la

DTIC.

76

Tabla 10

Estrategias de la DTIC

No Objetivos

Estratégicos Estrategias

1

INCREMENTAR LA EFECTIVIDAD EN EL CONTROL DEL TERRITORIO NACIONAL

Proponer los cambios que sean pertinentes al marco legal

2 MANTENER LA IMAGEN INSTITUCIONAL

Optimizar los procesos de difusión de información que tengan impacto estratégico

Fortalecer la imagen institucional y cohesión interna con el manejo adecuado de los temas legales (disciplinarios) y evitando el involucramiento del personal militar en actividades ilícitas

Fortalecer la integración y cooperación con los ejércitos de los países amigos

Mejorar los niveles de cooperación e integración con las otras fuerzas

3

INCREMENTAR LA EFECTIVIDAD OPERACIONAL DE LAS UNIDADES MILITARES

Desarrollar protocolos y procedimientos que definan las condiciones de empleo, tareas específicas y coordinaciones que se deben realizar para el cumplimiento de misiones y tareas de apoyo a la seguridad integral

Optimizar el apoyo a la gestión de riesgos

4 INCREMENTAR LAS CAPACIDADES MILITARES.

Recuperar, modernizar y adquirir material, armamento y equipo (terrestre, aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el ámbito interno

Fortalecer la capacidad de “ciberdefensa”

5 INCREMENTAR EL ALISTAMIENTO OPERACIONAL

Optimizar los procesos de entrenamiento por medio del uso de simuladores y nueva tecnología

6 INCREMENTAR LA EFECTIVIDAD EN EL APOYO LOGÍSTICO

Fortalecer el sistema logístico

Reformular los procesos de mantenimiento y conservación del material, equipo, medios e infraestructura a fin de alargar la vida útil del mismo

7 INCREMENTAR LA EFICIENCIA INSTITUCIONAL

Optimizar los procedimientos de planificación estratégica del ejército

Implantar la administración por procesos en todas las estructuras militares del ejército

Implementar un sistema integrado de gestión institucional por resultados

Optimizar en forma permanente la estructura organizacional de la institución

8 INCREMENTAR EL DESARROLLO DEL TALENTO HUMANO

Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el cumplimiento estricto de normas y procedimientos institucionales

Fortalecer el clima laboral, política de género, asistencia social del personal, manteniendo una adecuada cultura organizacional y adaptación a los procesos de modernización

9 INCREMENTAR EL USO EFICIENTE DEL PRESUPUESTO

Mejorar los procesos y procedimientos que permitan optimizar la planificación y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el manejo administrativo de las unidades de acuerdo a las normas vigentes Realizar el manejo del presupuesto y recursos institucionales bajo una política de priorización en virtud de los requerimientos operacionales y administrativos más importantes

Nota. Recuperado de Manuales de Proceso DTIC 2019

77

Las 20 estrategias planteadas por la DTIC encajan de cierta manera con las

estrategias empresariales prototipo de COBIT 2019 (Tabla 11), revisadas en el capítulo

2 sección 2.3.3.

Tabla 11

Estrategias de la DTIC y estrategias empresariales prototipo COBIT 2019

Prototipo de la Estrategia COBIT

2019 Estrategias DTIC 2019

Crecimiento/ Adquisición

Optimizar los procesos de difusión de información que tengan impacto estratégico Fortalecer la imagen institucional y cohesión interna con el manejo adecuado de los temas legales (disciplinarios) y evitando el involucramiento del personal militar en actividades ilícitas Fortalecer la integración y cooperación con los ejércitos de los países amigos Desarrollar protocolos y procedimientos que definan las condiciones de empleo, tareas específicas y coordinaciones que se deben realizar para el cumplimiento de misiones y tareas de apoyo a la seguridad tecnológica Optimizar el apoyo a la gestión de riesgos Reformular los procesos de mantenimiento y conservación del material, equipo, medios e infraestructura a fin de alargar la vida útil del mismo Implantar la administración por procesos en todas las estructuras militares del ejército

Innovación/ Diferenciación

Optimizar los procedimientos de planificación estratégica del ejército

Fortalecer el sistema logístico

Optimizar en forma permanente la estructura organizacional de la institución Fortalecer la práctica de un adecuado liderazgo, valores militares, así como el cumplimiento estricto de normas y procedimientos institucionales Fortalecer el clima laboral, política de género, asistencia social del personal, manteniendo una adecuada cultura organizacional y adaptación a los procesos de modernización

Fortalecer la capacidad de “ciberdefensa”

Implementar los procesos de entrenamiento por medio del uso de simuladores y nueva tecnología Implementar un sistema integrado de gestión institucional por resultados Recuperar, modernizar y adquirir material, armamento y equipo (terrestre, aéreo y fluvial) para la defensa de la soberanía y misiones de apoyo en el ámbito interno

Liderazgo en costes

Mejorar los procesos y procedimientos que permitan optimizar la planificación y ejecución presupuestaria (gasto corriente/gasto de inversión), así como el manejo administrativo de las unidades de acuerdo a las normas vigentes Realizar el manejo del presupuesto y recursos institucionales bajo una política de priorización en virtud de los requerimientos operacionales y administrativos más importantes

Servicio al Cliente/Estabilidad

Proponer los cambios que sean pertinentes al marco legal Mejorar los niveles de cooperación e integración con las otras fuerzas

78

Metas Empresariales

Las estrategias empresariales de la DTIC se encuentran definidas por los

objetivos que se han planteado para alcanzar sus metas; actualmente la institución

cuenta con 9 objetivos estratégicos, los cuales se indican en la Tabla 12.

Tabla 12

Objetivos estratégicos de la DTIC

Referencia Objetivos Estratégicos OB1 Incrementar la efectividad en el control del territorio nacional OB2 Mantener la imagen institucional OB3 Incrementar la efectividad operacional de las unidades militares OB4 Incrementar las capacidades militares OB5 Incrementar el alistamiento operacional OB6 Incrementar la efectividad en el apoyo logístico OB7 Incrementar la eficiencia institucional OB8 Incrementar el desarrollo del talento humano OB9 Incrementar el uso eficiente del presupuesto

De acuerdo con el campo de acción, los 9 objetivos estratégicos de la DTIC se

pueden categorizar en torno a las dimensiones del cuadro de mando integral (Balanced

Scorecard, BSC), con respecto a las metas financieras, metas de cliente, metas internas

y metas de aprendizaje y conocimiento (Tabla 13).

Tabla 13

Objetivos estratégicos de la DTIC y dimensiones del BSC

BSC Objetivos Estratégicos Financieras Incrementar el uso eficiente del presupuesto

Cliente Incrementar la efectividad en el control del territorio nacional

Interna

Mantener la imagen institucional Incrementar la efectividad operacional de las unidades militares Incrementar las capacidades militares Incrementar la efectividad en el apoyo logístico Incrementar la eficiencia institucional Incrementar el desarrollo del talento humano

Aprendizaje y Conocimiento

Incrementar el alistamiento operacional

79

Perfil de riesgo de I&T

Al momento de realizar el levantamiento de información dentro de la DTIC, se

pudo identificar que no se cuenta con un modelo definido, el cual les permita determinar

de forma correcta los posibles riesgos, el impacto y la probabilidad de que los mismos

se puedan materializar; al identificar como uno de los puntos frágiles dentro del DTIC,

se vio fundamental realizar el levantamiento de los riesgos con base a lo propuesto por

COBIT 2019 y a su vez elaborar un perfil que permita determinar su impacto dentro del

área de I&T.

Como uno de los puntos a desarrollar dentro del diseño del sistema de gobierno

de TI para la DTIC; es importante entender el perfil de riesgo que actualmente tienen

dentro la DTIC; es decir, entender qué escenarios de riesgo podrían afectar a la

institución y cómo evaluar su impacto y probabilidad de materialización.

Para obtener esta información, se utiliza la metodología COBIT 2019, donde se

han considerado 3 aspectos principales para la respectiva evaluación:

• Como punto inicial se realizó la identificación de escenarios de riesgo relevantes,

mismos que fueron tomados del modelo de gestión, para en función a ellos

identificar cuáles de estos se presentan dentro de la DTIC.

• Como segundo punto, junto con funcionarios de la DTIC se realiza la evaluación del

impacto y probabilidad de que se materialice el escenario, los cuales se encuentran

ponderados en un rango del uno (1) a cinco (5); siendo uno (1) un bajo impacto y

de probabilidad de ocurrencia y cinco (5) alto impacto y de probabilidad de

ocurrencia, dejando a los rangos de dos (2) a cuatro (4) como un nivel de impacto

medio y de probabilidad de ocurrencia.

• Como tercer punto se realiza la valoración íntegra del riesgo basada en entradas

precedentes, para lo cual se considera los siguientes niveles para categorizar a los

80

riegos, como riesgo muy alto a los de color rojo, riesgo alto a los de color amarillo,

riesgo normal a los de color verde y riesgo bajo a los de color negro (figura 29).

Figura 29

Categorización del escenario del perfil de riesgo de la DTIC

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018)

En función a los puntos detallados anteriormente, se ha elaborado la siguiente

categorización de los riegos que se puedan presentar dentro de la DTIC.

Como se puede identificar en la evaluación realizada, se obtuvo los resultados

indicados en la Tabla 14.

Impacto

(1-5)

Probabilidad

(1-5)TOTAL Riesgo

3 4 4

4 4 4

3 5 4

4 4 4

4 5 5

4 5 5

5 3 4

3 4 4

5 3 4

4 4 4

5 5 5

3 4 4

3 3 3

3 3 3

3 3 3

3 3 3

3 2 3

3 3 3

5 5 5

3.68 3.79 3.74TOTAL

Ataques lógicos (hacking, malware, etc.)

Categoría del escenario de riesgo

Toma de decis iones sobre invers iones en TI, definición y

mantenimiento del portafol io

Gestión del ciclo de vida de los programas y proyectos

Coste y control de TI

Comportamiento, habi l idades y conocimiento de TI

Arquitectura de la empresa/TI

Incidentes de infraestructura operativa de TI

Acciones no autorizadas

Adopción de software/problemas de uso

Incidentes de hardware

Fal los de Software

Medio ambiente

Gestión de datos e información

Incidentes de terceros/proveedores

Incumpl imiento

Problemas geopol íticos

Acción industria l

Actos de la natura leza

Innovación basada en la tecnología

81

Tabla 14

Resultados de la categorización del perfil de riesgos de la DTIC

Tipo de Riesgo Categoría del escenario de riesgo Total

Riesgo muy alto

Gestión del ciclo de vida de los programas y proyectos

10

Coste y control de TI

Comportamiento, habilidades y conocimiento de TI

Arquitectura de la empresa/TI

Incidentes de infraestructura operativa de TI

Acciones no autorizadas

Incidentes de hardware

Fallos de Software

Ataques lógicos (hacking, malware, etc.)

Gestión de datos e información

Riesgo alto

Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio.

8

Adopción de software/problemas de uso

Incidentes de terceros/proveedores

Incumplimiento

Problemas geopolíticos

Acción industrial

Actos de la naturaleza

Medio ambiente

Riesgo Normal Innovación basada en la tecnología 1

Se concluye que de las 19 categorías de riesgos evaluados, 10 fueron

catalogados como riesgos muy altos dando un 52.63% de probabilidad que los

mismos se materialicen, adicional 8 de los escenarios fueron catalogados como altos

dando 42.10% de probabilidad que los mismos se materialicen y tan solo 1 escenario

con riesgo normal dando 5.26% de probabilidad de ocurrencia; por lo tanto, la DTIC

deberá considerar los controles respectivos sobre los 18 escenarios identificados en los

que se debería trabajar para tener un mejor control sobre los mismos.

82

Problemas actuales relacionados con I&T

Al momento de realizar el levantamiento de información dentro de la DTIC, se

pudo constatar que no cuenta con un modelo definido que permita determinar de forma

correcta los problemas actuales relacionados con IT, al identificar como uno de los

puntos frágiles dentro del DTIC, se vio fundamental realizar el levantamiento del mismos

y a su vez elaborar una clasificación exhaustiva de las problemáticas relacionadas

directamente con el área de I&T.

Como uno de los factores principales para poder continuar con la evaluación de

los problemas actuales dentro de la DTIC, fue necesaria la categorización adecuada de

los escenarios de riesgos con los que cuenta la institución, ya que se están

estrechamente relacionados con los problemas de TI.

Como una guía para identificar los problemas de TI, se puede realizar un

seguimiento a todo aquello que se haya reportado a través de la gestión de riesgos, una

auditoría, o la alta dirección o las partes interesadas externas; en conjunto con el

personal de procesos de la DTIC se realiza la evaluación de la matriz de problemas de

TI propuesta por COBIT 2019. Se asignaron valores de uno (1) a tres (3), siendo uno (1)

menos importante.

En la Figura 30 se presenta la evaluación a cada uno de los problemas en

función a la importancia que tenga la misma dentro de la DTIC.

Como se puede identificar en la evaluación realizada, se obtuvo los resultados

indicados en la Tabla 15.

Con lo que podemos concluir que de los 20 problemas relacionados con I&T

evaluados, 14 fueron catalogados como problemas dando un 70% de probabilidad que

los mismos se materialicen dentro de la DTIC, adicional 5 de los problemas

relacionados con I&T fueron catalogados como problemas graves dando 25% de

83

probabilidad que los mismos se materialicen y tan solo 1 de los problemas relacionados

con I&T fue catalogado sin problema dando 5% de probabilidad de ocurrencia.

Figura 30

Categorización de los problemas actuales relacionados con I&T

Nota. Adaptado de (ISACA, Diseño de una solución de Gobierno de Información y Tecnología,

2018)

84

Tabla 15

Problemas relacionados con I&T

Tipo de Riesgo

Categoría del Problema de I&T Total

Sin problema

Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto

1

Problema

Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio

14

Problemas de ejecución del servicio por parte de los subcontratistas de TI

Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI

Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados

Insuficientes recursos de TI, personal con habilidades inadecuadas o personal agotado / insatisfecho

Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto

Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI

Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI

Excesivamente alto coste de TI

Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales

Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando

Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa (relacionado con la computación de usuarios finales, que suele surgir de la insatisfacción con las soluciones y servicios de TI)

Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad

Incapacidad para explotar nuevas tecnologías o innovar con las TI

85

Tipo de Riesgo

Categoría del Problema de I&T Total

Problema grave

Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio

5

Incidentes significativos relacionados con I&T, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI

Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI

Gasto sustancial oculto y fraudulento en I&T, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados

Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes

PASO 2: Determinar el alcance inicial del sistema de gobierno

En este paso la institución tiene una visión más clara y global de la estrategia

empresarial, metas empresariales, perfil de riesgo de I&T y problemas actuales

relacionados con I&T. La información recopilada en el paso anterior ahora se traduce en

objetivos de gobierno y gestión priorizados, para determinar un alcance inicial de un

sistema de gobierno personalizado para la DTIC.

COBIT 2019 presenta dos enfoques, cualitativo y cuantitativo que permiten

realizar la priorización de objetivos de gobierno y gestión. El enfoque cualitativo

considera los objetivos de gobierno y gestión con relevancia para cada factor de diseño;

mientras que el enfoque cuantitativo contempla matrices de asignación numéricas para

los factores de diseño (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

Factor de diseño 1 (DF1): Considerar la estrategia empresarial

El factor de diseño número 1, permite trasladar las estrategias definidas por la

institución a una valoración de la importancia de los objetivos de gobierno y gestión.

86

De acuerdo con las directrices de COBIT 2019, se desarrolla una matriz de la

estrategia empresarial para la DTIC; mediante un enfoque cuantitativo y con base a la

experiencia y conocimiento del personal de la DTIC se asignan valores que encajan de

mejor forma con la situación actual de la institución (Anexo A. Factor de Diseño 1).

Las asignaciones para cada uno de los cuatro valores posibles para el factor de

diseño de la estrategia empresarial (crecimiento/adquisición, innovación/diferenciación,

liderazgo en coste, servicios/estabilidad al cliente) se clasificaron en una escala de uno

(1) a cinco (5): 5 indica la mayor influencia y 1 indica la ausencia de cualquier relación;

con la finalidad de priorizar los objetivos de gobierno y gestión para la DTIC.

Los valores obtenidos permitieron realizar la priorización de los objetivos de

gobierno y gestión; y se consideran las metas que, a partir de la puntuación, se

encuentren en el rango de la media hacia arriba.

Una vez realizado el análisis de la matriz del factor de diseño 1 para la DTIC, se

exponen las siguientes conclusiones:

• La evaluación de la matriz de la estrategia empresarial de la DTIC muestra valores

de 2.95, 3.47, 2.98 y 2.4 respectivamente, para los factores de diseño

Crecimiento/Adquisición, Innovación/Diferenciación, Liderazgo en coste y Servicio al

cliente /estabilidad. Se identifica que el prototipo principal que se relaciona con las

estrategias de la DTIC es Innovación/Diferenciación, es decir, la institución se

enfoca en ofrecer servicios innovadores a sus clientes. Así como el prototipo

secundario es Servicio al cliente /estabilidad, por lo que, la institución debería

proporcionar un servicio estable y orientado al cliente.

• Para las estrategias definidas por la DTIC en el 2019, la asignación de valores

muestra la importancia de los objetivos de gobierno y gestión indicados en la Tabla

16.

87

Tabla 16

Objetivos de gobierno y gestión DF1

Dominio Referencia Objetivos De Gobierno y Gestión

Para DTIC Calificación

Evaluar, Dirigir y

Monitorizar

EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

95

EDM02 Asegurar la realización de beneficios 90 EDM03 Asegurar la optimización del riesgo 87 EDM04 Asegurar la optimización de recursos 91

EDM05 Asegurar la transparencia de las partes interesadas

95

Alinear, Planificar y Organizar

APO01 Gestionar el marco de gestión de TI 95 APO02 Gestionar la estrategia 65 APO04 Gestionar la innovación 85 APO07 Gestionar los recursos humanos 82 APO08 Gestionar las relaciones 73 APO11 Gestionar la calidad 73 APO12 Gestionar el riesgo 73 APO13 Gestionar la seguridad 83 APO14 Gestionar los datos 86

Construir, Adquirir e

Implementar

BAI01 Gestionar los programas 71 BAI02 Gestionar la definición de requisitos 71

BAI03 Gestionar la identificación y construcción de soluciones

74

BAI06 Gestionar los cambios de TI 68

Factor de diseño 2 (DF2): Considerar las metas empresariales y aplicar la cascada

de metas de COBIT

Una vez realizada la valoración de las estrategias empresariales de la DTIC, se

tiene una base para ejecutar el análisis de las metas empresariales en el siguiente

factor de diseño del modelo de COBIT 2019, que define un conjunto de 13 metas

empresariales genéricas, las cuales se deben priorizar en concordancia con las

estrategias de la DTIC.

El factor de diseño número 2 permite traducir las metas empresariales a una

valoración relativa de los objetivos de gobierno y gestión, se siguen los pasos que se

88

indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

1. Determinar metas empresariales importantes para la DTIC. - Se desarrolla una

matriz entre los objetivos estratégicos de la DTIC y las metas empresariales

genéricas de COBIT 2019, con la finalidad de determinar las metas más importantes

para la institución (figura 31). COBIT recomienda seleccionar de tres a cinco metas

empresariales para obtener resultados más significativos.

Figura 31

Metas empresariales COBIT 2019

Mediante información que proveen los colaboradores de la DTIC, se asignan valores

con base a la siguiente escala de calificación:

89

a) Primaria (P): Si la meta DTIC tiene una relación directa con la meta COBIT

2019. Para facilitar el análisis cuantitativo se considera que P es equivalente a

cinco (5).

b) Secundaria (S): Si la meta DTIC tiene una relación indirecta con la meta COBIT

2019. Para facilitar el análisis cuantitativo se define que S es equivalente a uno

(1).

c) En Blanco: Cuando la meta DTIC NO tiene ninguna relación con la meta COBIT

2019. Para facilitar el análisis cuantitativo se determina que VACIO es

equivalente a cero (0)

Mediante la evaluación de la matriz anterior es posible establecer las metas

empresariales de COBIT 2019 priorizadas a partir de la puntuación total, que es

equivalente a la sumatoria de la valoración de cada meta.

Como resultado se obtienen 5 metas empresariales relevantes (Tabla 17), se

consideraron aquellas con una calificación que se encuentra en el rango de la media

hacia arriba.

Tabla 17

Metas empresariales priorizadas

Referencia Metas Empresariales para la DTIC

EG02 Gestión de riesgo del negocio EG03 Cumplimiento de leyes y regulaciones externas EG07 Calidad de la información de gestión

EG012 Gestión de programas de transformación digital

EG013 Innovación de producto y negocio

2. Determinar las metas de alineamiento más importantes para la DTIC. – La

información resultante del paso anterior sobre las metas empresariales priorizadas,

representa la base para estructurar la siguiente matriz, entre las metas

90

empresariales de COBIT 2019 significativas para la DTIC y las 13 metas de

alineamiento planteadas en COBIT 2019 analizadas en la sección 2.3.4. (figura 32)

Figura 32

Metas empresariales a metas de alineamiento

Con el apoyo y conocimiento de los funcionarios de la DTIC sobre la

situación actual de la institución, se establecen valores para las 13 metas

relacionadas con I&T, se utiliza la siguiente escala de evaluación:

a) Primaria (P): Cuando la meta empresarial tiene una relación directa con la

meta de alineamiento. Para facilitar el análisis cuantitativo se define que P es

equivalente a cinco (5).

b) Secundaria (S): Cuando la meta empresarial tiene una relación indirecta

con la meta de alineamiento. Para facilitar el análisis cuantitativo se define que S es

equivalente a uno (1)

91

c) En Blanco: Cuando la meta empresarial NO tiene NINGUNA relación con

la meta de alineamiento. Para facilitar el análisis cuantitativo se define que VACIO

es equivalente a cero (0).

A partir de la puntuación total que es equivalente a la sumatoria de la valoración

de cada meta de alineamiento, como resultado se determinan 7 metas de alineamiento

importantes (Tabla 18), se consideraron aquellas con una calificación que se encuentra

en el rango de la media hacia arriba.

Tabla 18

Metas de alineamiento priorizadas

Referencia Metas Alineamiento DTIC

AG2 Gestión de riesgo relacionado con I&T

AG5 Prestación de servicios I&T conforme a los requerimientos del negocio

AG7 Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad

AG9 Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad

AG10 Calidad de la información sobre gestión de I&T AG11 Cumplimiento de I&T con las políticas internas

AG13 Conocimiento, experiencia e iniciativas para la innovación empresarial

3. Determinar los objetivos de gobierno y gestión relevantes para la DTIC. – Las

metas de alineamiento priorizadas del paso anterior, representan una guía para el

análisis de una nueva matriz genérica con los 40 objetivos de gobierno y gestión de

COBIT 2019 indicados en el apartado 2.2.1. Se presenta la matriz en la Figura 33.

92

Figura 33

Metas de alineamiento a Objetivos de gobierno y gestión DF3


2018)

93

Con esta información se identifica el conjunto de objetivos de gobierno y gestión

que tienen mayor importancia para la DTIC. Con la ayuda de colaboradores de la DTIC,

de su experiencia y del contexto de la institución, se realiza la asignación de valores

empleando la siguiente escala de calificación:

a) Primaria (P): Cuando los objetivos de gobierno y gestión tienen una

relación directa con las metas de alineamiento. Para facilitar el análisis cuantitativo

se define que P es equivalente a cinco (5).

b) Secundaria (S): Cuando los objetivos de gobierno y gestión tienen una

relación indirecta con las metas de alineamiento. Para facilitar el análisis cuantitativo

se define que S es equivalente a uno (1).

C) En Blanco: Cuando los objetivos de gobierno y gestión NO tiene una

NINGUNA relación con las metas de alineamiento. Para facilitar el análisis

cuantitativo se define que VACIO es equivalente a cero (0).

Tabla 19

Objetivos de gobierno y gestión para la DTIC DF2

Dominio Referencia Objetivos De Gobierno y Gestión

Para DTIC Calificación


APO03 Gestionar la arquitectura de la empresa 31 APO04 Gestionar la innovación 31 APO05 Gestionar el portafolio 31 APO06 Gestionar el presupuesto y los costes 35 APO07 Gestionar los recursos humanos 35 APO09 Gestionar los acuerdos de servicio 35 APO10 Gestionar los proveedores 31 APO11 Gestionar la calidad 35

Construir, Adquirir e Implementar

BAI09 Gestionar los activos 35 BAI11 Gestionar los proyectos 30

Entregar, Dar Servicio y Soporte

DSS03 Gestionar los problemas 31

Monitorizar, Evaluar y Valorar

MEA01 Gestionar la monitorización del rendimiento y la conformidad

35

MEA02 Gestionar el sistema de control interno 35 MEA04 Gestionar el aseguramiento 31

94

La priorización de los objetivos de gobierno y gestión está dada de acuerdo con

la puntuación alcanzada, se consideran valores de la media hacia arriba y se obtienen

los resultados finales del factor de diseño número 2 (DF2). Se determinan 14 objetivos

de gobierno y gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan

en la Tabla 19.

Factor de diseño 3 (DF3): Considerar el perfil de riesgo de la empresa

Una vez realizada la valoración en la cual se definió la categorización de los

riegos con el personal de la DTIC, se tiene una base para ejecutar el análisis del perfil

de riesgo empresarial; en el siguiente factor de diseño del modelo de COBIT 2019, que

define un conjunto de 19 categorías de riesgo de TI empresariales genéricas, las cuales

se deben priorizar en concordancia con los objetivos de gobierno y gestión; las

asignaciones expresan hasta qué grado los valores del factor de diseño DF3, influyen

en la importancia de un objetivo de gobierno o gestión. Se siguen los pasos que se

indican a continuación (ISACA, Diseño de una solución de Gobierno de Información y

Tecnología, 2018).

Se desarrolla una matriz de las 19 categorías de riesgo de TI definidas por

COBIT 2019, las cuales llevan una correlación con los objetivos de gobierno y gestión,

con la finalidad de determinar los diferentes escenarios de riesgos importantes para la

institución (Anexo A. Factor de Diseño 3b).

Mediante información que proveen los colaboradores de la DTIC, se asignan

valores con base a la siguiente escala de calificación:

a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor

influencia y 1 indica la ausencia de cualquier relación.

b) Se recomienda mantener la suficiente distancia entre los valores

95

Una vez realizada la evaluación, se obtuvieron los resultados indicados en la

Tabla 20 con respecto al resultado de la asignación de Riesgos de TI y Tabla 21,

correspondientes a la priorización de objetivos de gobierno/gestión para la DTIC.

Tabla 20

Resultado de la asignación de Riesgos de TI DF3

No Referencia Riesgos que se aplican para la DTIC

1 RISKCAT01 Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio.

2 RISKCAT02 Gestión del ciclo de vida de los programas y proyectos.

3 RISKCAT03 Coste y control de TI.

4 RISKCAT04 Comportamiento, habilidades y conocimiento de TI.

5 RISKCAT05 Arquitectura de empresa/TI. 6 RISKCAT06 Incidentes de infraestructura operativa de TI. 7 RISKCAT08 Adopción de software/problemas de uso 8 RISKCAT09 Incidentes de hardware. 9 RISKCAT10 Fallos de software.

10 RISKCAT11 Ataques lógicos [hackeo, software malintencionado (malware), etc.]

11 RISKCAT17 Innovación tecnológica. 12 RISKCAT19 Gestión de información y datos.

Tabla 21


Dominio Referencia Objetivos de Gobierno y

Gestión para DTIC Calificación

Evaluar, Dirigir y Monitorizar


54

EDM02 Asegurar la realización de beneficios

59

EDM03 Asegurar la optimización del riesgo

77

EDM04 Asegurar la optimización de recursos

63


59

96

Dominio Referencia Objetivos de Gobierno y

Gestión para DTIC Calificación


APO01 Gestionar el marco de gestión de TI

61

APO02 Gestionar la estrategia 51

APO03 Gestionar la arquitectura de la empresa

58

APO04 Gestionar la innovación 59 APO05 Gestionar el portafolio 56

APO06 Gestionar el presupuesto y los costes

54

APO07 Gestionar los recursos humanos

50

APO08 Gestionar las relaciones 56

APO09 Gestionar los acuerdos de servicio

51

APO10 Gestionar los proveedores 55 APO11 Gestionar la calidad 56 APO12 Gestionar el riesgo 70 APO13 Gestionar la seguridad 58 APO14 Gestionar los datos 51


Implementar BAI06 Gestionar los cambios de TI 53

Entrega, Dar Servicio y Soporte


Factor de diseño 4 (DF4): Considerar los problemas actuales relacionados con la

I&T de la empresa

Una vez finalizada la valoración de los problemas actuales relacionados con la

DTIC, se realizó un diagnóstico a alto nivel de los mismos con el personal de la DTIC,

con ello se tiene una base para ejecutar el análisis de los problemas relacionados con

I&T que experimenta en la actualidad; en el siguiente factor de diseño del modelo de

COBIT 2019, se define un conjunto de 20 posibles problemas relacionados con I&T, los

cuales se deben priorizar en relación con los objetivos de gobierno y gestión; para el

análisis se siguen los pasos que se indican a continuación (ISACA, Diseño de una

solución de Gobierno de Información y Tecnología, 2018).

97

Se desarrolla una matriz de los 20 posibles problemas relacionados con I&T

definidos por COBIT 2019, los cuales se correlacionan con los objetivos de gobierno y

gestión de COBIT 2019, con el propósito de determinar los problemas relacionados con

I&T importantes para la institución (Anexo A. Factor de Diseño 4b).

Con la información que proveen los colaboradores de la DTIC, se asignan

valores con base a la siguiente escala de calificación:

a) Las asignaciones usan una escala de uno (1) a cinco (5): 5 indica la mayor

influencia y 1 indica la ausencia de cualquier relación.

b) Se recomienda mantener la suficiente distancia entre los valores.

Los resultados indicados en la Tabla 22 corresponden a la asignación de

problemas relacionados con I&T y los de la Tabla 23 muestran 19 objetivos de

gobierno/gestión priorizados para la DTIC, para este factor de diseño.

Tabla 22

Resultado de la Asignación de problemas relacionados con I&T DF4

Referencia Problemas Relacionados con I&T para la DTIC

01 Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI.

02 Problemas de ejecución del servicio por parte de los subcontratistas de TI.

03 Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI.

04 Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI.

05 Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados.

06 Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho.

07 Alto coste de protección de TI

08 Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes

09 Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa

98

Tabla 23


Dominio Referencia Objetivos de Gobierno y Gestión

para DTIC Calificación

Evaluar, Dirigir y

Monitorizar


75



60


APO01 Gestionar el marco de gestión de TI 81 APO02 Gestionar la estrategia 72 APO04 Gestionar la innovación 63 APO08 Gestionar las relaciones 61 APO11 Gestionar la calidad 68 APO12 Gestionar el riesgo 75


Implementar

BAI02 Gestionar la definición de requisitos 58


64

BAI05 Gestionar los cambios organizativos 60 Entrega,

Dar Servicio y Soporte

DSS01 Gestionar las operaciones 60


Monitorizar, Evaluar y

Valorar


54

MEA02 Gestionar el sistema de control interno

62

MEA04 Gestionar el aseguramiento 57

Al finalizar con el análisis de los factores de diseño del paso 2, en la Tabla 24 se

presenta un resumen con la priorización de los objetivos de gobierno y gestión para

cada factor de diseño. Adicional, la priorización de los objetivos de gobierno y gestión

está dada de acuerdo con la puntuación alcanzada en los factores de diseño DF1 al

DF4, se consideran valores de la media hacia arriba y se obtienen los resultados finales

de los factores de diseño del paso número 2. Se determinan 16 objetivos de gobierno y

gestión para ser fortalecidos dentro de la DTIC, los cuales se presentan en la Tabla 25.

99

Tabla 24

Resumen resultados factores de diseño Paso 2

Paso 2: Factores de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Garantizar el establecimiento y el mantenimiento del marco de gobierno

EDM01 EDM01 EDM01 EDM01

Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02 Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03 Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04 Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05

Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01

Gestionar la estrategia APO02 APO02 APO02 APO02 Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03 Gestionar la innovación APO04 APO04 APO04 APO04 Gestionar el portafolio APO05 APO05 APO05 APO05 Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06 Gestionar los recursos humanos APO07 APO07 APO07 APO07 Gestionar las relaciones APO08 APO08 APO08 APO08 Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09

Gestionar los proveedores APO10 APO10 APO10 APO10 Gestionar la calidad APO11 APO11 APO11 APO11 Gestionar el riesgo APO12 APO12 APO12 APO12 Gestionar la seguridad APO13 APO13 APO13 APO13 Gestionar los datos APO14 APO14 APO14 APO14 Gestionar los programas BAI01 BAI01 BAI01 BAI01 Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02 Gestionar la identificación y construcción de soluciones

BAI03 BAI03 BAI03 BAI03

Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04 Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05 Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06 Gestionar la aceptación y la transición de los cambios de TI


Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08 Gestionar los activos BAI09 BAI09 BAI09 BAI09 Gestionar la configuración BAI10 BAI10 BAI10 BAI10 Gestionar los proyectos BAI11 BAI11 BAI11 BAI11 Gestionar las operaciones DSS01 DSS01 DSS01 DSS01 Gestionar las peticiones y los incidentes del servicio

DSS02 DSS02 DSS02 DSS02

Gestionar los problemas DSS03 DSS03 DSS03 DSS03 Gestionar la continuidad DSS04 DSS04 DSS04 DSS04 Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05

Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06 Gestionar la monitorización del rendimiento y la conformidad

MEA01 MEA01 MEA01 MEA01

Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02 Gestionar el cumplimiento de los requerimientos externos


Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04

100

Tabla 25

Resumen valores de factores de diseño Paso 2

Paso 2: Valores Factores de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 DF1 DF2 DF3 DF4 Total


95 27 54 75 251

EDM02 Asegurar la realización de beneficios 90 23 59 76 248 EDM03 Asegurar la optimización del riesgo 87 27 77 71 262 EDM04 Asegurar la optimización de recursos 91 27 63 67 248 EDM05 Asegurar la transparencia de las partes interesadas 95 27 59 60 241 APO01 Gestionar el marco de gestión de TI 95 23 61 81 260 APO02 Gestionar la estrategia 65 27 51 72 215 APO03 Gestionar la arquitectura de la empresa 60 31 58 37 186 APO04 Gestionar la innovación 85 31 59 63 238 APO05 Gestionar el portafolio 35 31 56 46 168 APO06 Gestionar el presupuesto y los costes 23 35 54 43 155

APO07 Gestionar los recursos humanos 82 35 50 39 206

APO08 Gestionar las relaciones 73 27 56 61 217 APO09 Gestionar los acuerdos de servicio 50 35 51 33 169 APO10 Gestionar los proveedores 44 31 55 43 173 APO11 Gestionar la calidad 73 35 56 68 232 APO12 Gestionar el riesgo 73 27 70 75 245 APO13 Gestionar la seguridad 83 23 58 6 170 APO14 Gestionar los datos 86 25 51 36 198

BAI01 Gestionar los programas 71 14 49 46 180

BAI02 Gestionar la definición de requisitos 71 23 42 58 194

BAI03 Gestionar la identificación y construcción de soluciones 74 19 48 64 205 BAI04 Gestionar la disponibilidad y capacidad 58 15 43 40 156

BAI05 Gestionar los cambios organizativos 57 26 40 60 183

BAI06 Gestionar los cambios de TI 68 27 53 51 199

BAI07 Gestionar la aceptación y la transición de los cambios de TI

59 27 37 46 169

BAI08 Gestionar el conocimiento 60 19 40 32 151 BAI09 Gestionar los activos 36 35 29 28 128 BAI10 Gestionar la configuración 30 23 37 46 136

BAI11 Gestionar los proyectos 50 30 46 43 169

DSS01 Gestionar las operaciones 50 26 30 60 166 DSS02 Gestionar las peticiones y los incidentes del servicio 44 23 49 39 155 DSS03 Gestionar los problemas 46 31 51 59 187 DSS04 Gestionar la continuidad 46 27 40 49 162 DSS05 Gestionar los servicios de seguridad 58 26 39 51 174 DSS06 Gestionar los controles de procesos de negocio 53 27 48 51 179


50 35 37 54 176

MEA02 Gestionar el sistema de control interno 43 35 46 62 186

MEA03 Gestionar el cumplimiento de los requerimientos externos

49 23 46 49 167

MEA04 Gestionar el aseguramiento 50 31 48 57 186

TOTAL 7690

192,25

101

Conclusión Paso 2

Al finalizar el paso 2, se tiene una visión más completa de los elementos que se

requieren para definir el alcance inicial de un sistema de gobierno personalizado para la

DTIC:

I. Objetivos de gobierno y gestión priorizados: Se refiere a la serie de objetivos de

gobierno y gestión en los cuales se deberá enfocar la DTIC, los cuales se indican

en la Tabla 26.

Tabla 26

Objetivos de gobierno y gestión Paso 2

Dominio Referencia Objetivos de Gobierno y Gestión para

DTIC Calificación

Evaluar, Dirigir y

Monitorizar


251



241


APO01 Gestionar el marco de gestión de TI 260 APO02 Gestionar la estrategia 215 APO04 Gestionar la innovación 238 APO07 Gestionar los recursos humanos 206 APO08 Gestionar las relaciones 217 APO11 Gestionar la calidad 232 APO12 Gestionar el riesgo 245 APO14 Gestionar los datos 198


Implementar



205


PASO 3: Perfeccionar el alcance del sistema de gobierno

Los factores de diseño restantes, de los indicados en la sección 3.4 en el paso 3,

permiten realizar afinamientos sobre el alcance inicial del sistema de gobierno y gestión

102

definido. Este paso incluye los siguientes aspectos: (ISACA, Diseño de una solución

de Gobierno de Información y Tecnología, 2018)

I. Explicación de cada factor de diseño (DF), del DF5 al DF11, Escenario de

amenazas al Tamaño de la empresa respectivamente.

II. Determinar si cada factor de diseño es aplicable o no a la empresa. - Para este

punto, en función de las características de la institución, la DTIC considera el

análisis de los factores de diseño (DF) 5,7,8 y 9.

III. Para los factores de diseño aplicables, determinar los posibles valores que se

ajusten al contexto de la institución, junto con descripciones de referencia de los

valores y matrices de asignación.

El resultado de cada consideración de estos factores de diseño corresponde a

una lista clasificada con los objetivos de gobierno y gestión similar al paso anterior,

asimismo con las matrices de asignación es posible utilizar las mismas técnicas y

escalas ya descritas.

Factor de diseño 5 (DF5): Considerar el escenario de amenazas

Escenario bajo el cual opera la DTIC; el factor de diseño 5 permite determinar

los valores que encajan de mejor manera al funcionamiento actual de la DTIC, conforme

a cada una de las dos entradas posibles correspondientes a este factor de diseño: alto y

normal, descritos en la sección 2.3.3. numeral 5.

De acuerdo con los criterios de COBIT 2019, para priorizar los objetivos de

gobierno y gestión se desarrolla una tabla de asignación entre los parámetros del factor

de diseño 5 y los objetivos de gobierno y gestión (Anexo A. Factor Diseño 5).

En conjunto con funcionarios de la DTIC, para cada objetivo de gobierno y

gestión se asignan valores a las categorías alto y normal entre uno (1) y cuatro (4), así:

a) Definir un valor NORMAL < 4

103

b) El valor asignado al campo ALTO será mayor que el valor del campo NORMAL

La matriz de asignación del factor de diseño 5 deriva en la identificación de los

objetivos de gobierno y gestión relevantes para la DTIC en los parámetros analizados

(Tabla 27).

Tabla 27




Evaluar, Dirigir y

Monitorizar

EDM03 Asegurar la optimización del riesgo 5

EDM04 Asegurar la optimización de recursos 5




5

APO06 Gestionar el presupuesto y los costes 5 APO07 Gestionar los recursos humanos 5 APO09 Gestionar los acuerdos de servicio 5 APO10 Gestionar los proveedores 5 APO11 Gestionar la calidad 5 APO12 Gestionar el riesgo 5 APO13 Gestionar la seguridad 5 APO14 Gestionar los datos 5


Implementar

BAI02 Gestionar la definición de requisitos 5 BAI06 Gestionar los cambios de TI 5


5

BAI08 Gestionar el conocimiento 5 BAI11 Gestionar los proyectos 5

Entregar, Dar Servicio

y Soporte

DSS03 Gestionar los problemas 5 DSS04 Gestionar la continuidad 5 DSS05 Gestionar los servicios de seguridad 5


MEA02 Gestionar el sistema de control interno 5


5

Además, cada categoría del factor de diseño de escenario de amenazas se

valoró sobre el 100% y fue posible concluir los siguientes aspectos:

Se observa que, de las calificaciones de los dos valores analizados para este

factor de diseño, la categoría alta presenta el mayor porcentaje con el 78.14%, mientras

104

que el 21.85% corresponde al parámetro de normal; es decir que la mayor parte de las

operaciones de la DTIC se encuentra sujeta a un escenario de amenazas alta.

Factor de diseño 7 (DF7): Rol de TI

El factor de diseño 7 señala las directrices a seguir por parte de la institución

para evaluar cuatro posibles parámetros del Rol de TI (soporte, fábrica, cambio y

estratégico) revisados en la sección 2.3.3. Se plantea una matriz base entre los factores

de diseño y los objetivos de gobierno y gestión, con el fin de realizar el análisis

respectivo y cuantificar cada objetivo.

En consideración con la situación actual, en conjunto con personal de la DTIC se

evalúa la matriz para este factor de diseño, con valores de la escala entre uno (1) hasta

cinco (5): 1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño

7).

Una vez realizada la evaluación de los parámetros descritos, los resultados se

presentan en la Tabla 28 con los objetivos de gobierno y gestión priorizados; se

consideraron aquellos con una calificación en el rango de la media hacia arriba.

Tabla 28



DTIC Calificación

Evaluar, Dirigir y

Monitorizar


17

EDM02 Asegurar la realización de beneficios 16



APO01 Gestionar el marco de gestión de TI 18


APO03 Gestionar la arquitectura de la empresa 18

APO04 Gestionar la innovación 16

APO06 Gestionar el presupuesto y los costes 16

APO07 Gestionar los recursos humanos 17

APO09 Gestionar los acuerdos de servicio 17

APO12 Gestionar el riesgo 15

105


DTIC Calificación


Implementar

BAI01 Gestionar los programas 15



16

BAI05 Gestionar los cambios organizativos 15



17

BAI08 Gestionar el conocimiento 15

BAI11 Gestionar los proyectos 18

Entregar, Dar Servicio

y Soporte DSS06

Gestionar los controles de procesos de negocio

16



15

Además, los resultados muestran que los valores de los cuatro parámetros

definidos en este factor de diseño no marcan una diferencia significativa entre ellos;

adicional, que el Rol de TI estratégico es el más representativo para la DTIC con 28,7%,

es decir las TI son críticas para el funcionamiento e innovación de los procesos y

servicios de la institución.

Factor de diseño 8 (DF8): Modelo de abastecimiento de proveedores para TI


para evaluar tres posibles modelos de abastecimiento de proveedores para TI

(Externalización (outsourcing), Nube, Personal interno (insourcing). Se plantea una

matriz base entre los factores de diseño y los objetivos de gobierno y gestión, con el fin

de realizar el análisis respectivo y cuantificar cada objetivo.

Con respecto a la situación actual y junto con el personal de la DTIC, se evalúa

la matriz para el factor de diseño 8, con valores de la escala entre uno (1) hasta cinco

(5): 1 indica que es nada importante y 5 más importante. (Anexo A. Factor Diseño 8).

106

Luego de finalizar la evaluación de la matriz descrita, los resultados se

presentan en la Tabla 29, con los objetivos de gobierno y gestión priorizados; se

consideraron aquellos con una calificación en el rango de la media hacia arriba.

Tabla 29



DTIC Calificación

Evaluar, Dirigir y

Monitorizar



5

Alinear,

Planificar y Organizar

APO01 Gestionar el marco de gestión de TI 5 APO04 Gestionar la innovación 5 APO05 Gestionar el portafolio 5 APO06 Gestionar el presupuesto y los costes 5 APO07 Gestionar los recursos humanos 5 APO08 Gestionar las relaciones 5 APO10 Gestionar los proveedores 5 APO11 Gestionar la calidad 5 APO12 Gestionar el riesgo 5 APO13 Gestionar la seguridad 5 APO14 Gestionar los datos 5


Implementar

BAI01 Gestionar los programas 5 BAI02 Gestionar la definición de requisitos 5


5

BAI04 Gestionar la disponibilidad y capacidad 5 BAI05 Gestionar los cambios organizativos 5 BAI08 Gestionar el conocimiento 5 BAI09 Gestionar los activos 5 BAI10 Gestionar la configuración 5 BAI11 Gestionar los proyectos 5

Entrega, Dar Servicio y Soporte

DSS01 Gestionar las operaciones 5 DSS03 Gestionar los problemas 5 DSS05 Gestionar los servicios de seguridad 5

DSS06 Gestionar los controles de procesos de negocio

5



5

MEA04 Gestionar el aseguramiento 5

107

Con respecto a la evaluación realizada, se pudo detectar que de 40 objetivos de

gobierno analizados en función a la DTIC; el 75% de objetivos es decir 30 objetivos

detallados, cuentan con alto grado de importancia en lo que respecta al abastecimiento

de los proveedores de TI, dan un buen lineamiento a las buenas prácticas que nos

brinda COBIT 2019. Adicional que, dentro de la DTIC, es superior el modelo de

abastecimiento de proveedores para TI el personal interno, con un valor de 79%.

Factor de diseño 9 (DF9): Métodos de implementación de TI


para evaluar tres posibles modelos de asignación de métodos de implementación de TI

(Agile, DevOps, Tradicional). Se plantea una matriz base entre los factores de diseño y

los objetivos de gobierno y gestión, con el fin de realizar el análisis respectivo y

cuantificar cada objetivo.

Con base a la situación actual y junto con el personal de la DTIC, se evalúa la

matriz para este factor de diseño, con valores de la escala entre uno (1) hasta cinco (5):

1 indica que es nada importante y 5 más importante (Anexo A. Factor Diseño 9).

Los resultados se presentan en la Tabla 30, con los objetivos de gobierno y

gestión priorizados; se consideraron aquellos con una calificación en el rango de la

media hacia arriba.

Tabla 30


Dominio Referencia Objetivos de Gobierno y Gestión Calificación


APO05 Gestionar el portafolio 11

APO06 Gestionar el presupuesto y los costes 11 APO07 Gestionar los recursos humanos 13 APO13 Gestionar la seguridad 11


Implementar

BAI03 Gestionar la definición de requisitos 9 BAI04 Gestionar la disponibilidad y capacidad 11 BAI09 Gestionar los activos 9

108

Con respecto a la evaluación realizada se pudo detectar que de 40 objetivos de

gobierno analizados; el 17.5% de objetivos, es decir 7 objetivos detallados cuentan con

alto grado de importancia en lo que respecta a la asignación de métodos de

implementación de TI; por lo que es necesario realizar un plan de innovación, el cual

permita actualizar las herramientas tecnologías actualmente implementadas. Además,

para la asignación de métodos de implementación de TI para la DTIC, el más

significativo es DevOps con un valor de 37.76%.

Al finalizar con el análisis de los factores de diseño del paso 3, en la Tabla 31 se

presenta una síntesis con la prioridad de los objetivos de gobierno y gestión para cada

factor de diseño.

Tabla 31

Resumen resultados factores de diseño Paso 3


Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Garantizar el establecimiento y el mantenimiento del marco de gobierno

EDM01 EDM01 EDM01 EDM01

Asegurar la realización de beneficios EDM02 EDM02 EDM02 EDM02

Asegurar la optimización del riesgo EDM03 EDM03 EDM03 EDM03

Asegurar la optimización de recursos EDM04 EDM04 EDM04 EDM04

Asegurar la transparencia de las partes interesadas EDM05 EDM05 EDM05 EDM05

Gestionar el marco de gestión de TI APO01 APO01 APO01 APO01

Gestionar la estrategia APO02 APO02 APO02 APO02

Gestionar la arquitectura de la empresa APO03 APO03 APO03 APO03

Gestionar la innovación APO04 APO04 APO04 APO04

Gestionar el portafolio APO05 APO05 APO05 APO05

Gestionar el presupuesto y los costes APO06 APO06 APO06 APO06

Gestionar los recursos humanos APO07 APO07 APO07 APO07

Gestionar las relaciones APO08 APO08 APO08 APO08

Gestionar los acuerdos de servicio APO09 APO09 APO09 APO09

Gestionar los proveedores APO10 APO10 APO10 APO10

Gestionar la calidad APO11 APO11 APO11 APO11

Gestionar el riesgo APO12 APO12 APO12 APO12

Gestionar la seguridad APO13 APO13 APO13 APO13

Gestionar los datos APO14 APO14 APO14 APO14

Gestionar los programas BAI01 BAI01 BAI01 BAI01

Gestionar la definición de requisitos BAI02 BAI02 BAI02 BAI02

Gestionar la identificación y construcción de soluciones BAI03 BAI03 BAI03 BAI03

Gestionar la disponibilidad y capacidad BAI04 BAI04 BAI04 BAI04

109


Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Gestionar los cambios organizativos BAI05 BAI05 BAI05 BAI05

Gestionar los cambios de TI BAI06 BAI06 BAI06 BAI06

Gestionar la aceptación y la transición de los cambios de TI


Gestionar el conocimiento BAI08 BAI08 BAI08 BAI08

Gestionar los activos BAI09 BAI09 BAI09 BAI09

Gestionar la configuración BAI10 BAI10 BAI10 BAI10

Gestionar los proyectos BAI11 BAI11 BAI11 BAI11

Gestionar las operaciones DSS01 DSS01 DSS01 DSS01

Gestionar las peticiones y los incidentes del servicio DSS02 DSS02 DSS02 DSS02

Gestionar los problemas DSS03 DSS03 DSS03 DSS03

Gestionar la continuidad DSS04 DSS04 DSS04 DSS04

Gestionar los servicios de seguridad DSS05 DSS05 DSS05 DSS05

Gestionar los controles de procesos de negocio DSS06 DSS06 DSS06 DSS06

Gestionar la monitorización del rendimiento y la conformidad


Gestionar el sistema de control interno MEA02 MEA02 MEA02 MEA02

Gestionar el cumplimiento de los requerimientos externos MEA03 MEA03 MEA03 MEA03

Gestionar el aseguramiento MEA04 MEA04 MEA04 MEA04

Adicional, en la Tabla 32 se resume el refinamiento del alcance inicial definido,

se muestran los factores de diseño aplicables a la institución.

Tabla 32

Refinamiento del alcance del sistema de gobierno y gestión

Ref Factor de

Diseño Valor

Prioridad de los Objetivos de Gobierno y Gestión

Componentes

DF5 ESCENARIO DE AMENAZAS

Alto 78%

Entre los objetivos de gobierno y gestión importantes se incluyen: - EDM03, EDM04 - APO02, APO03, APO6, APO7,APO9, APO10, APO11, APO12, APO13, APO14 - BAI02, BAI06, BAI07, BAI08, BAI11 - DSS03, DSS04, DSS05 - MEA02, MEA03

Entre las estructuras organizativas importantes están: - Comité de estrategia de seguridad - CISO Entre los aspectos de cultura y comportamiento importantes se encuentran: - Concienciación sobre seguridad Flujos de información: - Política de seguridad - Estrategia de seguridad (ISACA, Diseño de una solución de Gobierno de Información y Tecnología, 2018)

DF7 ROL DE TI

110

Ref Factor de

Diseño Valor

Prioridad de los Objetivos de Gobierno y Gestión

Componentes

Estratégico

4 de una escala de 5

Entre los objetivos de gobierno y gestión importantes están: - EDM01, EDM02, EDM04. - APO01, APO02, APO03, APO04, APO06, APO07, APO09, APO12. - BAI01, BAI02, BAI03, BAI05, BAI06, BAI07, BAI08, BAI11. - DSS01, DSS02, DSS06. - MEA01

N/A

DF8 MODELO DE ABASTECIMIENTO DE PROVEEDORES PARA TI

Personal interno

79%

Entre los objetivos de gobierno y gestión importantes se incluyen: - EDM02, EDM03, EDM04, EDM05 -APO01, APO04, APO05,APO06, APO07, APO08, APO10, APO11, APO12, APO13, APO14 - BAI01, BAI02. BAI03, BAI04, BAI05, BAI08, BAI09, BAI10, BAI11 -DSS01, DSS03, DSS05, DSS06 - MEA03, MEA04

N/A

DF9 MÉTODOS DE IMPLEMENTACIÓN DE TI

DevOps 37.7%

Entre los objetivos de gobierno y gestión importantes están: - APO05, APO06, APO07, APO13 - BAI03, BAI04, BAI09

N/A

La priorización de los objetivos de gobierno y gestión está dada de acuerdo con

la puntuación alcanzada en los factores de diseño DF5, DF7, DF8, DF9, se consideran

valores de la media hacia arriba y se obtienen los resultados finales de los factores de

diseño del paso número 3.

Se determinan 17 objetivos de gobierno y gestión para ser fortalecidos dentro de

la DTIC, los cuales se presentan en la Tabla 33.

111

Tabla 33

Resumen valores de factores de diseño Paso 3

Paso 3: Valores Factores

de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 DF5 DF7 DF8 DF9 Total


4 17 4 9 34

EDM02 Asegurar la realización de beneficios 4 16 5 9 34 EDM03 Asegurar la optimización del riesgo 5 14 5 9 33 EDM04 Asegurar la optimización de recursos 5 15 5 9 34 EDM05 Asegurar la transparencia de las partes interesadas 4 12 5 9 30 APO01 Gestionar el marco de gestión de TI 4 18 5 9 36 APO02 Gestionar la estrategia 5 15 4 9 33 APO03 Gestionar la arquitectura de la empresa 5 18 4 9 36 APO04 Gestionar la innovación 5 16 5 9 35 APO05 Gestionar el portafolio 4 13 5 11 33 APO06 Gestionar el presupuesto y los costes 5 16 5 11 37 APO07 Gestionar los recursos humanos 5 17 5 13 40 APO08 Gestionar las relaciones 4 11 5 9 29 APO09 Gestionar los acuerdos de servicio 5 17 4 9 35 APO10 Gestionar los proveedores 5 4 5 9 23 APO11 Gestionar la calidad 5 12 5 9 31 APO12 Gestionar el riesgo 5 15 5 9 34 APO13 Gestionar la seguridad 5 11 5 11 32 APO14 Gestionar los datos 5 13 5 9 32 BAI01 Gestionar los programas 4 15 5 9 33 BAI02 Gestionar la definición de requisitos 5 16 5 9 35 BAI03 Gestionar la identificación y construcción de soluciones 4 16 5 11 36 BAI04 Gestionar la disponibilidad y capacidad 4 12 5 11 32 BAI05 Gestionar los cambios organizativos 4 15 5 9 33 BAI06 Gestionar los cambios de TI 5 16 3 9 33 BAI07 Gestionar la aceptación y la transición de los cambios de TI 5 17 3 9 34 BAI08 Gestionar el conocimiento 5 15 5 9 34 BAI09 Gestionar los activos 4 14 5 11 34 BAI10 Gestionar la configuración 4 11 5 9 29 BAI11 Gestionar los proyectos 5 18 5 9 37 DSS01 Gestionar las operaciones 4 15 5 9 33 DSS02 Gestionar las peticiones y los incidentes del servicio 4 15 3 9 31 DSS03 Gestionar los problemas 5 12 5 9 31 DSS04 Gestionar la continuidad 5 13 3 9 30 DSS05 Gestionar los servicios de seguridad 5 14 5 9 33 DSS06 Gestionar los controles de procesos de negocio 4 16 5 9 34 MEA01 Gestionar la monitorización del rendimiento y la conformidad 4 15 4 9 32 MEA02 Gestionar el sistema de control interno 5 14 4 9 32 MEA03 Gestionar el cumplimiento de los requerimientos externos 5 13 5 9 32 MEA04 Gestionar el aseguramiento 4 13 5 9 31

TOTAL 1320 33

112

Conclusión Paso 3

Al finalizar el paso 3, la institución pudo identificar los refinamientos necesarios

para el sistema de gobierno y gestión inicial, información que será considerada en el

siguiente paso (Paso 4) para su consolidación.

De manera similar al anterior paso, el afinamiento se expresa en objetivos de

gobierno/gestión priorizados del sistema de gobierno y gestión, los cuales se indican en

la Tabla 34.

Tabla 34

Objetivos de gobierno y gestión Paso 3



Evaluar, Dirigir y

Monitorizar


34






APO04 Gestionar la innovación 35




APO12 Gestionar el riesgo 34


Implementar



36


34

BAI08 Gestionar el conocimiento 34

BAI09 Gestionar los activos 34

BAI11 Gestionar los proyectos 37

Entregar, Dar Servicio y Soporte


34

113

PASO 4: Perfeccionar el alcance del sistema de gobierno

Como se puede observar en la Figura 34, el sistema de gobierno resultante del

paso final del proceso de diseño considera todos los aportes revisados de los pasos

anteriores, así:

• El alcance inicial del diseño del sistema de gobierno se realizó en el Paso 2, a partir

del Paso 1 en el que se tuvo un mayor conocimiento del contexto y de la estrategia

de la empresa.

• El perfeccionamiento del alcance se obtuvo en el Paso 3 con el análisis de los

factores de diseño adicionales descritos por COBIT 2019.

Figura 34

Flujo de trabajo del diseño del sistema de gobierno


Finalizar el diseño

El resultado final del desarrollo de cada una de las etapas permite obtener el

diseño de un sistema de gobierno de TI para la DTIC y alcanzar una conclusión; el

diseño incluye:

114

Objetivos de gobierno y gestión priorizados

En este punto es posible incluir las prioridades de los objetivos de gobierno

revisados en los pasos 2 y 3 de las etapas de diseño propuestas por COBIT. Este

análisis genera las prioridades ajustadas indicadas en la Tabla 35.

Tabla 35

Objetivos de gobierno y gestión Paso 2 Paso 3

Factores de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 PASO

2 PASO

3 Total


251 34 142,5

EDM02 Asegurar la realización de beneficios 248 34 141

EDM03 Asegurar la optimización del riesgo 262 33 147,5

EDM04 Asegurar la optimización de recursos 248 34 141 EDM05 Asegurar la transparencia de las partes interesadas 241 30 135,5 APO01 Gestionar el marco de gestión de TI 260 36 148 APO02 Gestionar la estrategia 215 33 124 APO03 Gestionar la arquitectura de la empresa 186 36 111

APO04 Gestionar la innovación 238 35 136,5

APO05 Gestionar el portafolio 168 33 100,5

APO06 Gestionar el presupuesto y los costes 155 37 96

APO07 Gestionar los recursos humanos 206 40 123 APO08 Gestionar las relaciones 217 29 123 APO09 Gestionar los acuerdos de servicio 169 35 102 APO10 Gestionar los proveedores 173 23 98 APO11 Gestionar la calidad 232 31 131,5 APO12 Gestionar el riesgo 245 34 139,5 APO13 Gestionar la seguridad 170 32 101 APO14 Gestionar los datos 198 32 115 BAI01 Gestionar los programas 180 33 106,5

BAI02 Gestionar la definición de requisitos 194 35 114,5


205 36 120,5

BAI04 Gestionar la disponibilidad y capacidad 156 32 94 BAI05 Gestionar los cambios organizativos 183 33 108

BAI06 Gestionar los cambios de TI 199 33 116


169 34 101,5

BAI08 Gestionar el conocimiento 151 34 92,5 BAI09 Gestionar los activos 128 34 81

BAI10 Gestionar la configuración 136 29 82,5

BAI11 Gestionar los proyectos 169 37 103 DSS01 Gestionar las operaciones 166 33 99,5 DSS02 Gestionar las peticiones y los incidentes del servicio 155 31 93

115

Factores de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 PASO

2 PASO

3 Total

DSS03 Gestionar los problemas 187 31 109 DSS04 Gestionar la continuidad 162 30 96

DSS05 Gestionar los servicios de seguridad 174 33 103,5

DSS06 Gestionar los controles de procesos de negocio 179 34 106,5


176 32 104

MEA02 Gestionar el sistema de control interno 186 32 109


167 32 99,5

MEA04 Gestionar el aseguramiento 186 31 108,5

La puntuación alcanzada en los pasos 2 y 3 permitió consolidar los resultados de

los objetivos de gobierno y gestión aplicables para la DTIC; se pudo identificar los

siguientes objetivos más importantes:

• APO01 Gestionar el marco de gestión de TI (148)

• EDM03 Asegurar la optimización del riesgo (147,5)

• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

(142,5)

• EDM02 Asegurar la realización de beneficios (141)

• EDM04 Asegurar la optimización de recursos (141)

• APO12 Gestionar el riesgo (139,5)

Con respecto al análisis inicial de los factores de diseño de los pasos anteriores,

los objetivos de gobierno/gestión cambiaron y se añadieron; así como, se añadieron

APO03, APO06, APO09, BAI07, BAI08, BAI09, BAI11, DSS06. Asimismo, se identifican

los siguientes objetivos de gobierno menos importantes:

• BAI09 Gestionar los activos (81)

• BAI08 Gestionar el conocimiento (92,5)

• APO06 Gestionar el presupuesto y los costes (96)

116

Adicional, con base a lo acordado con la DTIC en el alcance del proyecto, se

requiere la implementación de los siguientes objetivos, por lo tanto, se incluyen dentro

de los objetivos de gobierno/gestión priorizados:

• APO11 Gestionar la calidad

• DSS05 Gestionar los servicios de seguridad

Los cambios identificados en los objetivos de gobierno más importantes, así

como los menos importantes, demuestra que, considerar otros factores de diseño ha

conllevado a tener ajustes adicionales en el sistema de gobierno.

Tabla 36

Objetivos de gobierno y gestión priorizados para la DTIC

Dominio Ref. Objetivos de Gobierno y Gestión para DTIC Calificación

Evaluar, Dirigir y

Monitorizar


142,5


EDM03 Asegurar la optimización del riesgo 147,5


EDM05 Asegurar la transparencia de las partes interesadas 135,5





APO04 Gestionar la innovación 136,5



APO08 Gestionar las relaciones 123


APO11 Gestionar la calidad 131,5

APO12 Gestionar el riesgo 139,5

APO14 Gestionar los datos 115


Implementar

BAI02 Gestionar la definición de requisitos 114,5

BAI03 Gestionar la identificación y construcción de soluciones 120,5


BAI07 Gestionar la aceptación y la transición de los cambios de TI 101,5

BAI08 Gestionar el conocimiento 92,5

BAI09 Gestionar los activos 81

BAI11 Gestionar los proyectos 103 Entregar,

Dar Servicio y Soporte

DSS05 Gestionar los servicios de seguridad 103,5

DSS06 Gestionar los controles de procesos de negocio 106,5

117

Para concluir, una vez realizado un análisis cuantitativo de todos los factores de

diseño planteados por COBIT 2019 con base al contexto actual de la institución, se

identificaron 25 objetivos de gobierno y gestión propuestos para la DTIC y se indican en

la Tabla 36.

Kit de Herramientas de COBIT 2019

Adicional al diseño realizado mediante las 4 fases, COBIT 2019 permite aplicar

un Kit de herramientas para obtener los resultados sobre la priorización de los objetivos

de gobierno y gestión, a través de los factores de diseño de cada fase y visualizar los

resultados obtenidos.

La herramienta consiste en varias hojas de cálculo de Excel, las cuales de

manera general se estructuran de la siguiente manera:

• Una hoja de cálculo por cada factor de diseño, constituidas con la siguiente

información:

• Valores de entrada: Valores que se pueden introducir y se encuentran relacionados

con el contexto y situación actual de la institución, valores que se pueden

representar de forma gráfica.

• Cuantificación y clasificación de prioridades para los objetivos de gobierno y

gestión: Mediante tablas de asignación con valores que indican la importancia de

cada objetivo de gobierno/gestión. El Kit de herramientas realiza cálculos

automáticos de los valores introducidos para cada factor de diseño y refleja

promedios establecidos por la propia herramienta.

• Salidas: Corresponde a los resultados obtenidos. Los puntajes de prioridad se

calculan y son presentados en formato de tabla y de forma gráfica en dos diagramas

(Diagrama de barras y de araña).

118

• Dos hojas de resumen al finalizar el paso 2 y el paso 3 del diseño del sistema de

gobierno

• Una hoja de cálculo que permite consolidar los resultados de los factores de diseño

del sistema de gobierno.

Mediante el Kit de herramientas de COBIT 2019 será posible tener una

comparativa de los resultados obtenidos en los pasos anteriores y definir valores con

mayor exactitud, además presentar los resultados de una manera dinámica y gráfica.

La herramienta realiza una suma ponderada de los puntajes de importancia de

los objetivos de gobierno/gestión relacionadas con los factores de diseño del 5 al 10 y la

combina con los resultados del paso 2 Diseño inicial del sistema de gobierno. (ISACA,

Diseño de una solución de Gobierno de Información y Tecnología, 2018)

Para cada uno de los factores de diseño de las etapas planteadas por COBIT

para el sistema de gobierno y gestión, se presentan los valores de entrada y los

resultados obtenidos como salida. (Figura 35 – Figura 42).

Factor de diseño DF1

Se evalúa cada uno de los cuatro valores posibles para el factor de diseño de la

estrategia empresarial: crecimiento/adquisición, innovación/diferenciación, liderazgo en

coste, servicios/estabilidad al cliente.


Análisis de cada una de las trece metas empresariales calificadas entre 1 (nada

importante) y 5 (más importante).


Análisis del riesgo, considerando las 19 categorías de riesgo contenidas en el

factor de diseño de perfil de riesgo

119


Evaluación de cada uno de los 20 problemas relacionados con TI entre 1 (ningún

problema) y 3 (problema grave).


Se evalúa cada uno de los dos valores posibles (alto y normal) para el factor de

diseño de escenario de amenazas, entre 0% y 100%; la suma de los valores debe ser

100%.


Estudio de cada uno de los cuatro valores posibles para el factor de diseño de

rol de TI (soporte, fábrica, cambio y estratégico), deben valorarse entre 1 (nada

importante) y 5 (más importante).


Análisis de cada uno de los tres valores posibles para el factor de diseño de

modelo de abastecimiento de proveedores para TI (externalización, nube y personal

interno), se valora entre 0% y 100%. La suma de los tres valores debe ser 100%


Estudio de cada uno de los tres valores posibles para el factor de diseño de

métodos de implementación de TI (Agile, DevOps y tradicional), entre 0% y 100% y la

suma de los tres valores debe ser 100%.

120

Figura 35

Factor de Diseño DF1

121

Figura 36


122

Figura 37


123

Figura 38


124

Figura 39


125

Figura 40


126

Figura 41


127

Figura 42


128

Una vez realizada la evaluación de cada uno de los factores de diseño, la

herramienta resume los valores en una lista de resultados, que proporciona una visión

confiable de la importancia relativa que se calculó para cada uno de los 40 objetivos de

gobierno y gestión de COBIT 2019; mediante estos resultados es posible priorizar los

objetivos de gobierno/gestión para la DTIC y definir niveles de capacidad objetivo

adecuados. Los resultados se presentan como diagrama de barras (figura 43).

Figura 43

Importancia de los objetivos de gobierno/gestión para DTIC


2018)

129

Con base a los resultados obtenidos de las matrices genéricas propuestas por

COBIT 2019 y de los valores alcanzados con la herramienta de COBIT 2019, es posible

realizar una comparación entre los objetivos con mayor resultado en ambos casos y

obtener un valor promedio, para determinar con mayor exactitud y fiabilidad los

objetivos de gobierno/gestión priorizados para la DTIC, estos resultados se muestran en

la Tabla 37.

De acuerdo con el análisis realizado en cada uno de los factores de diseño y

mediante la utilización del kit de herramientas de COBIT 2019, el modelo de mejora de

un sistema de gobierno propuesto para la DTIC comprende 20 objetivos de

gobierno/gestión, y se encuentran listados en la Tabla 38 con base a la calificación

alcanzada, lo que indica el orden en el que se recomienda fortalecer o implementar;

además se presenta el mapa del modelo de mejoramiento de procesos de TI que se

recomienda implementar en la institución (figura 44).

En el Anexo A se puede visualizar el modelo propuesto para la DTIC, con la

información de todas las fases de COBIT 2019.

130

Tabla 37

Resumen de valores de objetivos de gobierno y gestión DTIC

Factores de Diseño

Objetivos de Gobierno y Gestión COBIT 2019 PASOS

2 y 3 HERRAMIENTA

COBIT TOTAL


142,5 35 88,75

EDM02 Asegurar la realización de beneficios 141 -5 68 EDM03 Asegurar la optimización del riesgo 147,5 45 96,25 EDM04 Asegurar la optimización de recursos 141 5 73 EDM05 Asegurar la transparencia de las partes interesadas 135,5 10 72,75 APO01 Gestionar el marco de gestión de TI 148 40 94 APO02 Gestionar la estrategia 124 10 67 APO03 Gestionar la arquitectura de la empresa 111 60 85,5 APO04 Gestionar la innovación 136,5 -10 63,25 APO05 Gestionar el portafolio 100,5 5 52,75 APO06 Gestionar el presupuesto y los costes 96 -5 45,5

APO07 Gestionar los recursos humanos 123 10 66,5

APO08 Gestionar las relaciones 123 -10 56,5 APO09 Gestionar los acuerdos de servicio 102 -5 48,5 APO10 Gestionar los proveedores 98 5 51,5 APO11 Gestionar la calidad 131,5 30 80,75 APO12 Gestionar el riesgo 139,5 70 104,75 APO13 Gestionar la seguridad 101 75 88 APO14 Gestionar los datos 115 45 80 BAI01 Gestionar los programas 106,5 20 63,25 BAI02 Gestionar la definición de requisitos 114,5 45 79,75 BAI03 Gestionar la identificación y construcción de soluciones 120,5 60 90,25 BAI04 Gestionar la disponibilidad y capacidad 94 35 64,5 BAI05 Gestionar los cambios organizativos 108 15 61,5

BAI06 Gestionar los cambios de TI 116 100 108


101,5 60 80,75

BAI08 Gestionar el conocimiento 92,5 10 51,25 BAI09 Gestionar los activos 81 5 43 BAI10 Gestionar la configuración 82,5 70 76,25 BAI11 Gestionar los proyectos 103 30 66,5 DSS01 Gestionar las operaciones 99,5 35 67,25

DSS02 Gestionar las peticiones y los incidentes del servicio 93 65 79

DSS03 Gestionar los problemas 109 45 77 DSS04 Gestionar la continuidad 96 50 73 DSS05 Gestionar los servicios de seguridad 103,5 55 79,25 DSS06 Gestionar los controles de procesos de negocio 106,5 55 80,75


104 30 67

MEA02 Gestionar el sistema de control interno 109 40 74,5

MEA03 Gestionar el cumplimiento de los requerimientos externos 99,5 65 82,25 MEA04 Gestionar el aseguramiento 108,5 45 76,75

TOTAL 2925

73,125

131

Tabla 38

Objetivos de gobierno y gestión para la DTIC

No Dominio Objetivos de Gobierno y Gestión

COBIT 2019 Total

1 Construir, Adquirir e Implementar BAI06 Gestionar los cambios de TI 108

2 Alinear, Planificar y Organizar APO12 Gestionar el riesgo 104,75

3 Evaluar, Dirigir y Monitorizar EDM03 Asegurar la optimización del riesgo

96,25

4 Alinear, Planificar y Organizar APO01 Gestionar el marco de gestión de TI

94

5 Construir, Adquirir e Implementar BAI03 Gestionar la identificación y construcción de soluciones

90,25

6 Evaluar, Dirigir y Monitorizar EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

88,75

7 Alinear, Planificar y Organizar APO13 Gestionar la seguridad 88

8 Alinear, Planificar y Organizar APO03 Gestionar la arquitectura de la empresa

85,5

9 Monitorizar, Evaluar y Valorar MEA03 Gestionar el cumplimiento de los requerimientos externos

82,25

10 Alinear, Planificar y Organizar APO11 Gestionar la calidad 80,75

11 Construir, Adquirir e Implementar BAI07 Gestionar la aceptación y la transición de los cambios de TI

80,75

12 Entregar, Dar Servicio y Soporte DSS06 Gestionar los controles de procesos de negocio

80,75

13 Alinear, Planificar y Organizar APO14 Gestionar los datos 80

14 Construir, Adquirir e Implementar BAI02 Gestionar la definición de requisitos

79,75

15 Entregar, Dar Servicio y Soporte DSS05 Gestionar los servicios de seguridad

79,25

16 Entregar, Dar Servicio y Soporte DSS02 Gestionar las peticiones y los incidentes del servicio

79

17 Entregar, Dar Servicio y Soporte DSS03 Gestionar los problemas 77

18 Monitorizar, Evaluar y Valorar MEA04 Gestionar el aseguramiento 76,75

19 Construir, Adquirir e Implementar BAI10 Gestionar la configuración 76,25

20 Monitorizar, Evaluar y Valorar MEA02 Gestionar el sistema de control interno

74,5

132

Figura 44

Modelo de mejoramiento de objetivos de gobierno/gestión para DTIC

Nota. Adaptado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)

Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC

La hoja de secuencia establece un plan general sobre la priorización de los

objetivos de gobierno/gestión que se propone implementar en la DTIC, un esquema en

el que se puede visualizar a breves rasgos la urgencia de implementación de los

procesos en la institución, de acuerdo con los 5 dominios que se indican en COBIT

2019.

Los objetivos de gobierno/gestión que se propone implementar en la DTIC se

encuentran definidos en el orden que se indica en la Figura 45, agrupados y priorizados

133

con base a los valores detallados en la Tabla 38, en la primera fase con base a lo

acordado con la DTIC en el alcance del proyecto, se requiere la implementación de los

objetivos: APO11 y DSS05.

Figura 45

Secuencia de Objetivos de Gobierno/Gestión a Implementar en la DTIC

1. Primera Fase (prioridad 1):

• APO11 Gestionar la calidad

• DSS05 Gestionar los servicios de seguridad

2. Segunda Fase (prioridad 2):

• BAI06 Gestionar los cambios de TI

• APO12 Gestionar el riesgo

• EDM03 Asegurar la optimización del riesgo

134

• APO01 Gestionar el marco de gestión de TI

• BAI03 Gestionar la identificación y construcción de soluciones

3. Tercera Fase (prioridad 3):

• EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno

• APO13 Gestionar la seguridad

4. Cuarta Fase (prioridad 4):

• APO03 Gestionar la arquitectura de la empresa

• MEA03 Gestionar el cumplimiento de los requerimientos externos

• BAI07 Gestionar la aceptación y la transición de los cambios de TI

• DSS06 Gestionar los controles de procesos de negocio

• APO14 Gestionar los datos

5. Quinta Fase (prioridad 5):

• BAI02 Gestionar la definición de requisitos

• DSS02 Gestionar las peticiones y los incidentes del servicio

6. Sexta Fase (prioridad 6):

• DSS03 Gestionar los problemas

• MEA04 Gestionar el aseguramiento

• BAI10 Gestionar la configuración

• MEA02 Gestionar el sistema de control interno

Modelo de evaluación de procesos

Para la institución es importante conocer la capacidad de los procesos de TI a

implementar, es así que, COBIT 2019 incluye un esquema de capacidad de procesos

basado en CMMI, Integración del modelo de madurez de capacidades (CMMI por sus

siglas en inglés, Capability Maturity Model Integration).

135

CMMI se deriva del modelo que el SEI (Software Engineering Intitute) definió

para la madurez de la capacidad del software, contiene las mejores prácticas del

desarrollo, las cuales se aplican desde un enfoque de administración y control de los

procesos de TI. El fin es identificar donde se encuentran los problemas y como fijar las

prioridades para obtener mejoras (iPMOGuide, 2018).

CMMI representa un método de evaluación con valores desde cero (0) hasta

cinco (5): 0 indica que es no existente y 5 que se encuentra optimizado; tal como se

revisó en la sección 2.5.1. Su importancia está dada en función de conocer el estado

actual en el que se encuentran los objetivos de gobierno y gestión y el nivel de

capacidad objetivo al que deben implementarse los procesos relacionados.

El nivel elegido para cada uno de los objetivos de gobierno y gestión deberá

considerar el benchmark interno disponible en la DTIC, correspondiente a la Matriz de

Control de Procesos DTIC. La escala de calificación de los objetivos de gobierno y

gestión se indica en la Tabla 39.

Tabla 39

Escala de calificación de niveles de capacidad

Nivel de capacidad

Descripción

5 El proceso lograr su propósito, está bien definido, su rendimiento se mide para mejorar el desempeño y se persigue la mejora continua.

4 El proceso lograr su propósito, está bien definido, y su rendimiento se mide (de forma cuantitativa).

3 El proceso logra su propósito de forma mucho más organizada usando activos para la organización. Los procesos están, por lo general, bien definidos.

2 El proceso logra su propósito a través de la aplicación de un conjunto de actividades básicas, pero completas, que pueden caracterizarse como realizadas.

1 El proceso logra más o menos su propósito a través de la aplicación de un conjunto de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no muy organizadas.

0 • Falta de cualquier capacidad básica • Estrategia incompleta para abordar el propósito de gobierno y gestión • La intención de todas las prácticas del proceso puede haberse definido o no.


2018)

136

Para obtener los valores de capacidad, se inicia con la consideración de los 20

objetivos de gobierno y gestión priorizados, luego se realiza la evaluación de cada uno

con base a los seis niveles de capacidad mencionados, lo cual se indica en las

siguientes Tablas (Tabla 40 – Tabla 44).

Determinación del nivel de capacidad actual de los procesos en la DTIC

Dominio: Evaluar, Dirigir y Monitorizar (EDM)

Tabla 40

Nivel de madurez actual de los objetivos gobierno/gestión EDM


Nivel de Capacidad Actual (NCA)

EDM01 Garantizar el establecimiento y el mantenimiento del marco de gobierno Analizar y articular los requisitos para el gobierno de la I&T de la empresa. Establecer y mantener componentes de gobierno claros con respecto a la autoridad y las responsabilidades para lograr la misión, las metas y los objetivos de la empresa.

1 Incompleto

- No existe un modelo estratégico de toma de decisiones que se cumpla al 100%. - Las actividades de planificación de TI no se cumplen de acuerdo con lo proyectado -No se cuenta con un sistema de gobierno de TI, las decisiones estratégicas se aplican de forma intuitiva

EDM03 Asegurar la optimización del

riesgo Asegurar que el apetito y la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio relacionado con el uso de I&T

0 No existe

-La actividad de Gestión de Riesgos tiene un cumplimiento de 0%. -No se cuenta con una gestión de riesgos adecuada, que permita la identificación y evaluación de riesgos de TI.

137

Dominio: Alinear, Planificar y Organizar (APO)

Tabla 41

Nivel de madurez actual de los objetivos gobierno/gestión APO

Objetivos de Gobierno y Gestión COBIT 2019 Nivel de Capacidad Actual

(NCA) APO01

Gestionar el marco de gestión de TI Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales y otros factores de diseño. En base a este diseño, implementar todos los componentes necesarios del sistema de gestión

1 Incompleto

-No se cuenta con un sistema de gobierno de TI -No se cuenta con un plan estratégico de TI alineado totalmente con el plan estratégico de la institución

APO03 Gestionar la arquitectura de la empresa Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología. Crear modelos y prácticas claves que describen las arquitecturas base y objetivo, en línea con la estrategia de I&T de la empresa. Definir los requisitos de taxonomía, estándares, directrices, procedimientos, plantillas y herramientas, y proporcionar un vínculo para estos componentes. Mejorar el alineamiento, aumentar la agilidad, mejorar la calidad de la información y generar ahorros potenciales de costes mediante iniciativas como la reutilización de componentes de bloques de construcción.

0 No existe

-No existe una arquitectura empresarial, ni tampoco un repositorio de arquitectura integrado -No se cuenta con modelos o prácticas claves para arquitecturas base y objetivo en línea con la estrategia de TI

APO11

Gestionar la calidad

Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados. Habilitar los controles, monitorización continua y uso de prácticas y estándares probados en esfuerzos de mejora y eficiencia continuos.

0 No existe

-La DTIC carece de metodologías de calidad, así, no se cuenta con un modelo de ciclo de vida de desarrollo de Software

138


(NCA)

APO12 Gestionar el riesgo

Identificar, evaluar y reducir continuamente los riesgos relacionados con I&T dentro de los niveles de tolerancia establecidos por la gerencia ejecutiva de la empresa

0 No existe

-La Gestión de riesgos adecuada, que permita la identificación y evaluación de riesgos de TI, no se realiza en la DTIC -La DTIC no considera el impacto de la materialización de un riesgo, relacionado con una vulnerabilidad de seguridad, ni la probabilidad de ocurrencia. -La DTIC no cuenta con una matriz de riesgos definida.

APO13 Gestionar la seguridad

Definir, operar y monitorizar un sistema de gestión de seguridad de la información

1 Incompleto

-Actualmente la DTIC no tiene implementado un sistema de gestión de seguridad de la información. Se tiene establecida una política de seguridad de la información, pero no se encuentra aceptada de manera formal ni difundida en toda la organización.

APO14 Gestionar los datos

Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega, mantenimiento y archivo

0 No existe

-La DTIC no cuenta con una gestión oportuna de los activos de datos durante todo el ciclo de vida de los datos.

139

Dominio: Construir, Adquirir e Implementar (BAI)

Tabla 42

Nivel de madurez actual de los objetivos gobierno/gestión BAI


(NCA)

BAI02 Gestionar la definición de requisitos

Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la empresa cubriendo los procesos, aplicaciones, información/datos, infraestructura y servicios del negocio. Coordinar la revisión de opciones viables con las partes interesadas afectadas, incluidos costes y beneficios relativos, análisis de riesgos y aprobación de los requisitos y soluciones propuestas

0 No existe

- Actualmente en la DTIC, la adquisición de infraestructura de TI, la definición de servicios de TI y el mantenimiento de aplicaciones y de servicios de TI no se realizan en torno a los lineamientos de estrategias o a las necesidades de la institución. Se atienden los requerimientos de los usuarios y se programan algunos mantenimientos, pero no en su totalidad.

BAI03 Gestionar la identificación y construcción de

soluciones Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa que cubran el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores. Gestionar la configuración, preparación de pruebas, gestión de requisitos y mantenimiento de procesos de negocio, aplicaciones, información/datos, infraestructura y servicios.

1 Incompleto

-En la DTIC la aplicación de soluciones de TI se basa en enfoques intuitivos, los requerimientos se identifican de manera informal con base a las necesidades del día a día de los usuarios.

BAI06 Gestionar los cambios de TI

Gestionar todos los cambios de una manera controlada, incluidos los cambios estándar y los mantenimientos de emergencia en relación con los procesos de negocio, las aplicaciones y la infraestructura. Esto incluye estándares y procedimientos de cambio, evaluación del impacto, priorización y autorización, cambios de emergencia, seguimiento, informes, cierre y documentación.

0 No existe

-No se cuenta con un proceso estructurado de control de cambios de TI, no se aplican procedimientos y políticas para realizar cambios de TI, mediante planes de implantación, cronogramas definidos y planes de roll back.

140


(NCA)

BAI07 Gestionar la aceptación y la transición de los

cambios de TI

Aceptar formalmente y hacer operativas las nuevas soluciones. Incluir la planificación de la implementación, conversión de sistemas y datos, pruebas de aceptación, comunicación, preparación de la puesta en producción, paso a producción de nuevos o modificados procesos de negocio y servicios de I&T, soporte temprano de la producción y revisión posterior a la implementación.

1 Incompleto

-Actualmente existe un proceso de puesta y paso a producción de nuevos o modificados servicios de TI, sin embargo, el proceso no se encuentra totalmente estructurado y no se basa en una metodología; el equipo de desarrollo decide el enfoque de la prueba, pero el proceso no se encuentra definido de manera formal.

BAI10 Gestionar la configuración

Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T. Incluir la recopilación de información sobre la configuración, estableciendo líneas de referencia, verificando y auditando esta información, y actualizando el repositorio de configuración.

0 No existe

-La DTIC está consciente de la necesidad de controlar la configuración de TI ante la alta rotación que se tiene del personal administrador de TI, y se comprende los beneficios de mantener información completa y precisa sobre las configuraciones existentes; debido a que actualmente existe dependencia implícita del conocimiento y experiencia del personal de TI, así como, el contenido de la información de la configuración es limitado o nulo, y no se cuenta con estándares o políticas con respecto a la información de configuración.

141

Dominio: Entregar, Dar Servicio y Soporte (DSS)

Tabla 43

Nivel de madurez actual de los objetivos gobierno/gestión DSS



DSS02 Gestionar las peticiones y los incidentes del servicio Proporcionar una respuesta oportuna y efectiva a las solicitudes de los usuarios y la resolución de todos los tipos de incidentes. Restaurar el servicio normal, registrar y completar las solicitudes de usuario; y registrar, investigar, diagnosticar, escalar y resolver los incidentes.

2 Completo

-En la mayoría de los casos, a través de la herramienta Chasqui se recibe, se da soporte y respuesta a los usuarios ante incidentes de TI; en cuanto a incidentes de seguridad cibernética, mediante el área de Seguridad de la Información, se da respuesta y se analiza el incidente para tomar medidas de contención y erradicación. -Actualmente no se cuenta con un área específica dedicada únicamente al soporte de usuarios y no se documentan o estandarizan los procedimientos.

DSS03 Gestionar los problemas

Identificar y clasificar los problemas y su causa raíz. Ofrecer una solución oportuna para evitar incidentes recurrentes. Ofrecer recomendaciones de mejoras.

0 No existe

-No se cuenta con un sistema integrado de gestión de problemas. -No se tienen procesos para identificación y clasificación de problemas y la causa raíz -No existe una estandarización de procedimientos de escalamiento y resolución de problemas considerando SLA´s y OLA´s

DSS05 Gestionar los servicios de

seguridad

Proteger la información de la empresa para mantener el nivel de riesgo de la seguridad de la información aceptable para la empresa, conforme con la política de seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la información. Realizar una monitorización de la seguridad

2 Completo

-Se aplican medidas de seguridad a nivel de endpoint y borde de la red; pero no con base a una política de seguridad bien definida y estructurada. -Las políticas aplicadas no consideran medidas de concientización sobre seguridad de la información. - Los roles y privilegios de acceso de seguridad de la información no se encuentran bien definidos y aplicados -Los servicios de proveedores pueden no cumplir con requerimientos específicos de seguridad de información de la institución, que puedan traducirse en el cumplimiento de SLA´s.

142



DSS06


Definir y mantener los controles apropiados de los procesos de negocio para asegurar que la información relacionada y procesada por procesos de negocio internos o externalizados cumpla con todos los requisitos relevantes de control de la información. Identificar los requisitos relevantes de control de la información. Gestionar y operar los controles adecuados de entrada, throughput y salida (controles de aplicación) para asegurar que la información y el procesamiento de la información cumpla con estos requisitos

0 No existe

-En la actualidad no se cuenta con procesos para la definición y empleo de controles, para asegurar que la información relacionada y procesada por procesos de negocio cumplan con los requisitos de control de la información. -Estos procesos deben estar relacionados y mapeados con los procesos de negocio de la DTIC y la información retenida deberá será auditable.

Dominio: Monitorizar, Evaluar y Valorar (MEA)

Tabla 44

Nivel de madurez actual de los objetivos gobierno/gestión MEA




Supervisar y evaluar continuamente el entorno de control, incluyendo autoevaluaciones y auto concienciación. Habilitar a la gerencia para identificar deficiencias e ineficiencias de control e iniciar acciones de mejora. Planificar, organizar y mantener estándares para la evaluación del control interno y la eficacia del control de procesos.

0 No existe

-Actualmente en la DTIC no existe un sistema de control interno, por parte de la institución se tiene la necesidad de una administración y gestión del control de TI de manera regular. -Los roles y responsabilidades para realizar el monitoreo y seguimiento de la efectividad de controles internos, no se encuentran definidos de manera formal por parte de la dirección de la DTIC

143



MEA03 Gestionar el cumplimiento de los

requerimientos externos Evaluar si los procesos de I&T y los procesos de negocio apoyados por I&T cumplen con las leyes, regulaciones y requisitos contractuales. Asegurar que los requisitos se han identificado y cumplido; integrar el cumplimiento de TI con el cumplimiento general de la empresa.

2 Completo

-La DTIC tiene el entendimiento de garantizar la integración del cumplimiento de TI con el cumplimiento de los objetivos estratégicos de la institución. - Se cumple con la necesidad de identificar y atender los requerimientos externos, como con los reglamentos regulatorios; sin embargo, no existe un enfoque estándar, en cuanto a los procedimientos que se definen para el cumplimiento de estos requerimientos.

MEA04 Gestionar el aseguramiento

Planificar, delimitar y ejecutar iniciativas de aseguramiento para cumplir con requisitos internos, leyes, regulaciones y objetivos estratégicos. Permitir que la dirección ofrezca una garantía adecuada y sostenible en la empresa, con la realización de revisiones y actividades de aseguramiento independiente.

2 Completo

-Existe la gestión del aseguramiento mediante un conjunto de actividades básicas, pero completas en cuanto a la planificación, delimitación y ejecución de iniciativas de aseguramiento para alcanzar el cumplimiento de requerimientos internos, leyes, así como con los objetivos estratégicos de la institución.

En la Tabla 45, se resume el nivel de capacidad actual de los objetivos de

gobierno/gestión para la DTIC.

144

Tabla 45

Nivel de madurez de los procesos de TI a fortalecer en la DTIC

Niveles de capacidad para los procesos (COBIT 2019)

5 4 3 2 1 0


-El proceso logra su propósito -está bien definido, - Su rendimiento se mide para mejorar el desempeño y - Se persigue la mejora continua.

-El proceso logra su propósito, está bien definido, y su rendimiento se mide de forma cuantitativa

-El proceso logra su propósito de forma mucho más organizada usando activos para la organización. -Los procesos están, por lo general, bien definidos.

-El proceso logra su propósito a través de la aplicación de un conjunto de actividades básicas, pero completas, que pueden caracterizarse como realizadas

-El proceso logra más o menos su propósito a través de la aplicación de un conjunto de actividades incompleto que pueden caracterizarse como iniciales o intuitivas, no muy organizadas

-Falta de cualquier capacidad básica -Estrategia incompleta para abordar el propósito de gobierno y gestión -La intención de todas las prácticas del proceso puede haberse definido o no

Evaluar, Dirigir y Monitorizar (EDM)



Alinear, Planificar y Organizar (APO)



APO11 Gestionar la calidad APO12 Gestionar el riesgo APO13 Gestionar la seguridad APO14 Gestionar los datos

Construir, Adquirir e Implementar (BAI)





BAI10 Gestionar la configuración Entregar, Dar Servicio y Soporte (DSS)

DSS02 Gestionar las peticiones y los incidentes del servicio


DSS05 Gestionar los servicios de seguridad


Monitorizar, Evaluar y Valorar (MEA)




145

Fases de implementación de un Sistema de Gobierno Personalizado

Posicionar el gobierno de Información y Tecnología de la empresa

Esta sección se refiriere al entendimiento que se debe tener sobre el contexto en

el que se desarrolla la institución y así, implementar el GEIT (Gobierno empresarial de

información y tecnología) de manera adecuada y exitosa. Se debe considerar que la

implementación tiene lugar bajo la influencia de varios factores del entorno interno y

externo como: estándares, ética, cultura, escenario de amenazas, misión, visión,

objetivo, valores, políticas, etc.

GEIT

En este trabajo se propone un modelo de Implementación de Gobierno de TI

como aliado del negocio, para ello se utilizaron las mejores prácticas de gobernanza de

TI como lo es COBIT 2019, ya que en la actualidad las tecnologías y los sistemas de

información se han convertido en el elemento esencial para la supervivencia de las

organizaciones, al posicionar al departamento de TI como área estratégica en el

cumplimiento de los objetivos del negocio. (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018)

El Gobierno de TI consiste en un completo marco de estructuras, procesos y

mecanismos relacionales. Las estructuras hacen referencia a la existencia de funciones

de responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así como

diversos comités de TI. Los procesos se refieren a la monitorización y a la toma de

decisiones estratégicas de TI. Los mecanismos relacionales consideran las alianzas y la

participación de la empresa/organización de TI, el diálogo en la estrategia y el

aprendizaje compartido. (Salah Llanes, 2017)

146

Además, se entiende por Gobierno TI al conjunto de acciones que realiza el área

de TI en coordinación con la alta dirección, para movilizar sus recursos de la forma más

eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Constituye una parte esencial del gobierno de la empresa en su conjunto, y

combina la estructura organizativa y directiva necesaria para asegurar que TI soporta y

facilita el desarrollo de los objetivos estratégicos definidos. (Gobernanza de las

tecnologías de la información , 2020)

GETI garantiza que:

• TI está alineada con la estrategia del negocio.

• Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la

forma más eficiente.

• Todos los riesgos relacionados con TI son conocidos y administrados y los recursos

de TI están seguros

Los elementos de la gobernanza de TI:

La TI además ayudan a comprender que los roles, la experiencia y la cultura son

factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva

arquitectura de la empresa, mejorando su rendimiento. Se tiene los siguientes

elementos: (Garbarino Alberti, 2014)

• Alineamiento Estratégico

• Estructuras organizativas

• Generación de Valor

• Procesos de Gobernanza de TI

• Gestión del riesgo

• Gestión del rendimiento

147

• Gestión de recursos

Ciclo de vida de mejora continua

COBIT 2019 indica tres componentes interrelacionados con el ciclo de vida de

mejora continua durante el proceso de implementación del GEIT, hasta convertirse en

algo usual para la institución, estos son: el ciclo de vida de mejora continua central del

GEIT, habilitación del cambio y gestión del programa. El método del ciclo de vida

incluye 7 fases, mostradas en la Figura 46 (ISACA, GUÍA DE IMPLEMENTACIÓN

COBIT® 2019, 2018).

Figura 46

Hoja de ruta de implementación COBIT

Nota. (ISACA, GUÍA DE IMPLEMENTACIÓN COBIT® 2019, 2018)

Las 7 fases del mapa de ruta de implementación del sistema de gobierno

definidas por COBIT 2019, se realiza con base a la ejecución de las actividades

determinadas en cada fase. La información obtenida del análisis de los factores de

148

diseño de un sistema de gobierno para la DTIC, realizado en la sección 3.4, permite

definir las tres primeras fases, tal como se describen en la Tabla 46.

Tabla 46

Fases de implementación COBIT2019 en DTIC

Fase Tareas de mejora

continua (CI) Pasos del Diseño

Información de la Institución DTIC

Fase 1

¿Cuáles son los

motivadores?

1. Identificar el contexto de gobierno actual, los puntos de dolor del negocio y de TI, los eventos y los síntomas que provocan la necesidad de actuar.

1.4

- Entender los problemas actuales relacionados con I&T.

De los 20 problemas relacionados con I&T evaluados: -14 fueron catalogados como problemas dando un 70% de probabilidad que los mismos se materialicen dentro de la DTIC. -5 de los problemas relacionados con I&T fueron catalogados como problemas graves dando 25% de probabilidad que los mismos se materialicen -1 de los problemas relacionados con I&T fueron catalogados sin problema dando 5% de probabilidad de ocurrencia.

2. Identificar los impulsores de negocio y de gobierno y los requisitos de cumplimiento para mejorar el GEIT y evaluar las necesidades actuales de las partes interesadas. 3. Identificar prioridades del negocio y estrategia de negocio dependientes de TI, incluido cualquier proyecto significativo en curso.

1.1 1.2 1.3

- Entender la estrategia empresarial. - Entender las metas empresariales. - Entender el perfil de riesgo

Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1)

Metas empresariales: OB1. Incrementar la efectividad en el control del territorio nacional OB2. Mantener la imagen institucional OB3. Incrementar la efectividad operacional de las unidades militares OB4. Incrementar las capacidades militares OB5. Incrementar el alistamiento operacional OB6. Incrementar la efectividad en el apoyo logístico OB7. Incrementar la eficiencia institucional OB8. Incrementar el desarrollo del talento humano OB9. Incrementar el uso eficiente del presupuesto

De las 19 categorías de riesgos evaluados: -10 fueron catalogados como riesgos muy altos dando un 52.63% de probabilidad que los mismos se materialicen.

149




-8 de los escenarios fueron catalogados como altos dando 42.10% de probabilidad que los mismos se materialicen -1 escenario con riesgo normal dando 5.26% de probabilidad de ocurrencia

4. Alinearse con las políticas, las estrategias y los principios rectores de la empresa y cualquier iniciativa en curso del gobierno actual.

Relacionadas con tareas de habilitación del cambio

Relacionadas con tareas de habilitación del cambio

5. Aumentar la concienciación de los directivos sobre la importancia de TI para la empresa y el valor del GEIT.

6. Definir la política, los objetivos, los principios rectores y los objetivos de mejora de alto nivel del GEIT.

7. Asegurar que, la dirección y el consejo de administración entienden y aprueban una estrategia de alto nivel, y que aceptan el riesgo de no hacer nada ante problemas significativos.

Fase 2

¿Dónde estamos ahora?

(Tareas CI)

1. Identificar metas empresariales clave y

apoyar las metas relacionadas con TI

claves

2.1 2.2

-Considerar la estrategia empresarial. -Considerar las metas empresariales y aplicar la cascada de metas de COBIT

Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio

150




AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial

2. Establecer la importancia y naturaleza de la contribución de TI (soluciones y servicios) requeridos para respaldar los objetivos de negocio.

2.2 3.3 3.4 3.5 3.6 3.7

-Considerar las metas empresariales y aplicar la cascada de metas de COBIT. -Considerar el rol de TI. -Considerar el modelo de abastecimiento de proveedores. -Considerar los métodos de implementación de TI. -Considerar la estrategia de adopción de tecnología. -Considerar el tamaño de la empresa.

-Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial -Rol de TI El Rol de TI estratégico es el más representativo para la DTIC con 28,7%, es decir las TI son críticas para el funcionamiento e innovación de los procesos y servicios de la institución - Abastecimiento de proveedores para TI Dentro de la DTIC es superior el modelo de abastecimiento de

151




proveedores para TI, el personal interno, con un valor de 79%. - Implementación de TI Para la asignación de métodos de implementación de TI para el DTIC, el más significativo es DevOps con un valor de 37.76%

3. Identificar problemas y debilidades claves de gobierno relacionadas con las soluciones y servicios actuales y requeridos en el futuro, la arquitectura empresarial necesaria para respaldar las metas relacionadas con TI y cualquier restricción o limitación.

2.4

- Considerar los problemas actuales relacionados con I&T.

1. Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI. 2. Problemas de ejecución del servicio por parte de los subcontratistas de TI. 3. Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI. 4. Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI. 5. Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados. 6. Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho. 7. Alto coste de protección de TI 8. Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes 9. Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa

4. Identificar y seleccionar los procesos críticos para respaldar las metas relacionadas con TI y, si corresponde, prácticas de gestión clave para cada proceso seleccionado.

2.1 2.2

- Considerar la estrategia empresarial. - Considerar las metas empresariales y aplicar la cascada de metas de COBIT.

Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital

152




EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial

5. Evaluar el riesgo de habilitación de beneficios/valor, el riesgo derealización de programa/proyecto y el riesgo de operaciones de prestación de servicio/TI relacionados con procesos críticos de TI.

2.3 -Considerar el perfil de riesgo de la empresa.

Perfil de riesgo: Riesgo muy Alto: -Gestión del ciclo de vida de los programas y proyectos -Coste y control de TI -Comportamiento, habilidades y conocimiento de TI -Arquitectura de la empresa/TI -Incidentes de infraestructura operativa de TI -Acciones no autorizadas -Incidentes de hardware -Fallos de Software -Ataques lógicos (hacking, malware, etc.) -Gestión de datos e información Riesgo Alto: -Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio -Adopción de software/problemas de uso -Incidentes de terceros/proveedores - Incumplimiento -Problemas geopolíticos -Acción industrial -Actos de la naturaleza - Medio ambiente Riesgo Normal: - Innovación basada en la tecnología

6. Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de realización de programa/proyecto y el riesgo de operaciones de prestación de servicio/TI relacionados con procesos críticos de TI.

2.3 -Considerar el perfil de riesgo de la empresa.

7. Entender la posición de aceptación del riesgo conforme a lo definido por la dirección.

1.3 2.3

-Entender el perfil de riesgo. -Considerar el perfil de riesgo de la empresa.

8. Definir el método para ejecutar la evaluación.

Niveles de capacidad de CMMI

153




9. Documentar el entendimiento de cómo el proceso actual aborda las prácticas de gestión seleccionadas anteriormente

2.1 2.2 2.3 2.4 3.1 3.2 3.3 3.4 3.5 3.6 3.7

-Considerar la estrategia empresarial. -Considerar las metas empresariales y aplicar la cascada de metas de COBIT. -Considerar el perfil de riesgo de la empresa. -Considerar los problemas actuales relacionados con I&T. -Considerar el escenario de amenazas. -Considerar los requisitos de cumplimiento. -Considerar el rol de TI. -Considerar el modelo de abastecimiento de proveedores. -Considerar los métodos de implementación de TI. -Considerar la estrategia de adopción de tecnología. -Considerar el tamaño de la empresa.

Estrategia empresarial: Se consideran las 20 estrategias empresariales definidas por la DTIC (Sección 3.4.1.1) Cascada de metas de COBIT: - EG02: Gestión de riesgo del negocio EG03: Cumplimiento de leyes y regulaciones externas EG07: Calidad de la información de gestión EG012: Gestión de programas de transformación digital EG013: Innovación de producto y negocio -AG2: Gestión de riesgo relacionado con I&T AG5: Prestación de servicios I&T conforme a los requerimientos del negocio AG7: Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad AG9: Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad AG10: Calidad de la información sobre gestión de I&T AG11: Cumplimiento de I&T con las políticas internas AG13: Conocimiento, experiencia e iniciativas para la innovación empresarial Perfil de riesgo: Riesgo muy Alto: -Gestión del ciclo de vida de los programas y proyectos -Coste y control de TI -Comportamiento, habilidades y conocimiento de TI -Arquitectura de la empresa/TI -Incidentes de infraestructura operativa de TI -Acciones no autorizadas -Incidentes de hardware -Fallos de Software -Ataques lógicos (hacking, malware, etc.) -Gestión de datos e información Riesgo Alto: -Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio -Adopción de software/problemas de uso

154




-Incidentes de terceros/proveedores - Incumplimiento -Problemas geopolíticos -Acción industrial -Actos de la naturaleza - Medio ambiente Riesgo Normal: - Innovación basada en la tecnología - Problemas actuales relacionados con I&T. 1. Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI. 2. Problemas de ejecución del servicio por parte de los subcontratistas de TI. 3. Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI. 4. Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI. 5. Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados. 6. Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho. 7. Alto coste de protección de TI 8. Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes 9. Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa - Escenario de amenazas -Rol de TI El Rol de TI estratégico es el más representativo para la DTIC con 28,7%, es decir las TI son críticas para el funcionamiento e innovación de los procesos y servicios de la institución

155




- Abastecimiento de proveedores para TI Dentro de la DTIC es superior el modelo de abastecimiento de proveedores para TI, el personal interno, con un valor de 79%. - Implementación de TI Para la asignación de métodos de implementación de TI para el DTIC, el más significativo es DevOps con un valor de 37.76%

10. Analizar el nivel de capacidad actual.

4.1 4.2

-Resolver conflictos de prioridades

inherentes. -Finalizar el diseño del sistema de gobierno.

Nivel de capacidad actual: Nivel 2: -DSS02 -DSS05 -MEA03 -MEA04 Nivel 1: -EDM01 -APO01 -APO13 -BAI03 -BAI07 Nivel 0: -EDM03 -APO03 -APO11 -APO12 -APO14 -BAI02 -BAI06 -BAI10 -DSS03 -DSS06 -MEA02

11. Definir la valoración de capacidad del proceso actual.

4.1 4.2



Fase 3

¿Dónde queremos

estar? (Tareas CI)

1. Definir objetivos de mejora:

4.1 4.2



Priorización de objetivos de gobierno/gestión para la DTIC

•EDM01 •EDM03 •APO01 •APO03 •APO11 •APO12 •APO13 •APO14 •BAI02 •BAI03 •BAI06 •BAI07 •BAI10 •DSS02 •DSS03 •DSS05 •DSS06 •MEA02 •MEA03 •MEA04

2. Analizar brechas: 4.14.2



156

Determinación de brechas para los objetivos de gobierno/gestión de la DTIC

Una vez finalizados los factores de diseño del paso 4, que se relacionan con la

fase 3 del modelo de implementación; se puede constatar que dentro de la fase 3 se

consideran como parte de las tareas de mejora continua (CI), el análisis de brechas.

Con base en la valoración de los niveles actuales de capacidad, se debe determinar un

nivel de capacidad objetivo que sea adecuado para cada proceso y así identificar las

brechas existentes para cada uno de los objetivos de gobierno/gestión evaluados para

la DTIC, es decir se define si la diferencia entre el nivel de capacidad objetivo, con

respecto a la capacidad actual, es mínima, moderada o significativa.

Se realiza la evaluación en cuanto a los valores indicados en la sección 3.4.6

(capacidad actual) y se determina un nivel de capacidad objetivo adecuado para cada

proceso (NCO).

Se considera el valor 4 para el nivel de capacidad objetivo (NCO), nivel que sin

ser el óptimo deseado, permite cubrir los requerimientos principales de la institución

(Tabla 47).

Tabla 47

Análisis de brechas en los procesos de la DTIC


Nivel de Capacidad

Actual (NCA)

Nivel de Capacidad Objetivo

(NCO)

Definición de Brechas

(NCO – NCA)

EDM01

Garantizar el establecimiento y el mantenimiento del marco de gobierno

1 4 3

Brecha significativa


0 4 4



1 4 3



0 4 4


157


Nivel de Capacidad

Actual (NCA)

Nivel de Capacidad Objetivo

(NCO)


(NCO – NCA)

APO11 Gestionar la calidad 0 4 4


APO12 Gestionar el riesgo 0 4 4


APO13 Gestionar la seguridad 1 4 3


APO14 Gestionar los datos 0 4 4



0 4 4


BAI03

Gestionar la identificación y construcción de soluciones

1 4 3



0 4 4



1 4 3



0 4 4


DSS02 Gestionar las peticiones y los incidentes del servicio

2 4 2

Brecha moderada

DSS03 Gestionar los problemas 0 4 4



2 4 2

Brecha moderada


0 4 4



0 4 4



2 4 2

Brecha moderada


2 4 2

Brecha moderada

158

Definición de planes de acción para cubrir las brechas identificadas

En esta sección se considera la siguiente fase del mapa de ruta de

implementación del sistema de gobierno definido por COBIT 2019, la fase 4, que tiene

como objetivo traducir las oportunidades de mejora en proyectos viables y justificables,

es decir, una vez que se han identificado todas las posibles iniciativas de mejora, se

priorizan en proyectos formales y justificables mediante el diseño de planes de

respuesta; tomando en cuenta los puntos expuestos en la apartado anterior 3.5.3, los

planes en mención se muestran en la Tabla 48.

Tabla 48

Análisis de brechas en los procesos de la DTIC



(NCO – NCA) Planes de Acción

EDM01

Garantizar el establecimiento y el mantenimiento del marco de gobierno

3 Brecha significativa La DTIC deberá restructurar un plan

estratégico de TI y establecer el modelo de gobierno de TI


4 Brecha significativa



La DTIC deberá reformar un plan estratégico de TI y establecer el modelo de gobierno de TI



La DTIC deberá definir el modelo de Gobierno de TI y desarrollar un modelo de arquitectura empresarial

APO11 Gestionar la calidad


La DTIC deberá aplicar una metodología de calidad para el ciclo de vida de desarrollo de software y, además difundir el enfoque de administración de proyectos

APO12 Gestionar el riesgo


La DTIC debe aplicar un esquema de Gestión de Riesgos de TI, que permita la identificación, evaluación de riesgos de TI y aplicación de controles

APO13 Gestionar la seguridad


La DTIC deberá restructurar, reforzar y monitorizar el sistema de gestión de seguridad de la información

159




APO14 Gestionar los datos


La DTIC deberá definir y mantener una gestión eficaz durante todo el ciclo de vida de los datos.



La DTIC deberá difundir el enfoque de administración de proyectos, así como definir y restructurar políticas y procedimientos de TI.

BAI03

Gestionar la identificación y construcción de soluciones


La DTIC deberá establecer y mantener soluciones de TI identificadas en su totalidad, en línea con los requerimientos de la institución que incluya el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores.



La DTIC debe contar con un proceso estructurado de control de cambios de TI, en el que se consideren procedimientos y políticas para realizar cambios de TI, mediante planes de implantación, evaluación de impacto, riesgos, autorizaciones y planes de roll back.

BAI07

Gestionar la aceptación y la transición de los cambios de TI


La DTIC deberá restructurar el proceso de puesta y paso a producción de nuevos o modificados servicios de TI, con base a una metodología, así como reformar y cumplir con las políticas y procedimientos de TI.



La DTIC deberá definir un proceso para la gestión de la configuración de TI, así como considerar la implementación de una herramienta que permita automatizar tareas relacionadas con las configuraciones de TI

DSS02

Gestionar las peticiones y los incidentes del servicio

2 Brecha moderada

La DTIC deberá estandarizar los canales para la atención de requerimientos de TI, además definir y aplicar SLA´s y OLA´s.



La DTIC debe contemplar la aplicación de un sistema integrado de gestión de problemas, que incluya procesos estándares de identificación y clasificación de problemas y la causa raíz, considerando el cumplimiento de SLA´s y OLA´s


2 Brecha moderada

-La DTIC deberá restructurar la política de seguridad que incluya los servicios a todo nivel, ya que en la actualidad solamente se cubren los servicios de internet, correo electrónico y la adquisición y desarrollo de aplicativos.

160




-Se debe considerar medidas de concientización con respecto a temas de seguridad de la información -Se debe definir roles y privilegios de acceso de seguridad de la información -Se deberá definir los servicios de proveedores con base a requerimientos específicos de seguridad de la información.

DSS06



-La DTIC debe contar con procesos que permitan aplicar controles, para asegurar que la información relacionada con el negocio cumpla con los requisitos de control de la información y pueda ser auditable. -Considerar la alternativa de implementar herramientas automatizadas de TI.



La DTIC deberá considerar la opción de contar con un sistema de control interno que permita la administración y gestión del control de TI de manera regular, incluyendo la definición de roles y responsabilidades.

MEA03

Gestionar el cumplimiento de los requerimientos externos

2 Brecha moderada

La DTIC debe estandarizar los procedimientos que permiten identificar y atender los requerimientos externos, así como regulatorios y legales.


2 Brecha moderada

La DTIC deberá estandarizar la gestión del aseguramiento que se realiza en la institución, en cuanto a la planificación, delimitación y ejecución de iniciativas de aseguramiento.

161

Implementación de procesos en la DTIC

De acuerdo con el alcance establecido por la DTIC sobre la urgencia de

implementación, de la hoja de secuencia indicada en la sección 3.4.5, se requiere

implementar los siguientes procesos en la institución:

1. APO11: Gestionar la calidad

• Dominio: Alinear, Planificar y Organizar (APO)

• Objetivo de Gestión

2. DSS05: Gestionar los servicios de seguridad

• Dominio: Entregar, Dar Servicio y Soporte (DSS)

Descripción de los objetivos de gobierno/gestión

Los objetivos que se requiere implementar en la DTIC APO11 y DSS05

pertenecen a la Gestión de TI; a continuación, se realiza una descripción de cada uno,

se incluye las métricas recomendadas por COBIT 2019 que se ajustan con el contexto

de la institución y la matriz de responsabilidades RACI.

Gestionar la calidad. APO11

Descripción:

Definir y comunicar los requisitos de calidad en todos los procesos,

procedimientos y resultados empresariales relacionados. Habilitar los controles,

monitorización continua y uso de prácticas y estándares probados en esfuerzos de

mejora y eficiencia continuos. (ISACA, Marco de referencia COBIT 2019: Objetivos de

Gobierno y Gestión, 2018)

Propósito

Asegurar la prestación consistente de soluciones y servicios tecnológicos para

satisfacer los requisitos de calidad de la empresa y las necesidades de las partes

162

interesadas. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018).

Metas empresariales/alineamiento y métricas

APO11 respalda la consecución de una serie de metas empresariales y de

alineamiento primarias tal cual se describe en la Tabla 49. Por otra parte, de las

métricas propuestas por COBIT 2019, se seleccionan métricas y se define una fórmula

de cálculo para el indicador que medirá el proceso (Tabla 50).

Tabla 49

Metas empresariales y de alineamiento de APO11

METAS EMPRESARIALES/ALINEAMIENTO

APO11: GESTIONAR LA CALIDAD

META EMPRESARIAL META DE ALINEAMIENTO

Ref. Descripción Ref. Descripción

EG01 Portafolio de productos y servicios competitivos

AG09

Ejecución de programas dentro del plazo, sin exceder el presupuesto, y que cumplan con los requisitos y estándares de calidad

EG04 Calidad de la información financiera

AG10 Calidad de la información sobre gestión de I&T

EG07 Calidad de la información sobre gestión

EG08 Optimización de la funcionalidad de procesos internos del negocio

EG12 Gestión de programas de transformación digital

163

Tabla 50

Métricas del APO11 para la DTIC

MÉTRICAS

APO11: GESTIONAR LA CALIDAD

MÉTRICAS PARA METAS EMPRESARIAL MÉTRICAS PARA METAS DE ALINEAMIENTO

Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo

EG01

Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado

𝑋 =

𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠𝑞𝑢𝑒 𝑒𝑥𝑐𝑒𝑑𝑒𝑛 𝑖𝑛𝑔𝑟𝑒𝑠𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜

𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

AG09

Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto

𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎

𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜

Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente

𝑋 =

𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠𝑜𝑓𝑒𝑟𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛

𝑐𝑖𝑒𝑛𝑡𝑒𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑜

𝑆𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

Número de programas que necesitan una revisión significativa debido a defectos de calidad

𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑐𝑜𝑛 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎d

Porcentaje de productos y servicios que proporcionan una ventaja competitiva

𝑋 =

𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

𝑞𝑢𝑒 𝑔𝑒𝑛𝑒𝑟𝑎 𝑣𝑒𝑛𝑡𝑎𝑗𝑎𝑐𝑜𝑚𝑝𝑒𝑡𝑖𝑡𝑖𝑣𝑎

𝑇𝑜𝑡𝑎𝑙 𝑃𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠

*100

Porcentaje de partes interesadas satisfechas con la calidad del programa/ proyecto

𝑋 =

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠

𝑐𝑜𝑛 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒

𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠

Plazo de comercialización para nuevos productos y servicios

𝑋 = 𝑁𝑜. 𝑑𝑒 𝑑𝑖𝑎𝑠 𝑑𝑒 𝑒𝑛𝑡𝑟𝑒𝑔𝑎

EG04

Encuesta de satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de la información financiera de la empresa

𝑋 =

𝑁𝑜. 𝑈𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠

𝑇𝑜𝑡𝑎𝑙 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠

𝑒𝑛𝑐𝑢𝑒𝑠𝑡𝑎𝑑𝑜𝑠

AG10

Nivel de satisfacción del usuario con la calidad, puntualidad y disponibilidad de la información de gestión relacionada con I&T, tras considerar los recursos disponibles

Mediante la aplicación de cuestionarios es posible consultarlo directamente con el usuario, y con base a los resultados obtenidos se puede aplicar la siguiente formula:

𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛

− % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛

𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛

(Zone, 2019)

Coste de incumplimiento con respecto a regulaciones financieras

𝑋 = 𝐶𝑜𝑠𝑡𝑜 𝑑𝑒 𝑖𝑛𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑟𝑒𝑠𝑝𝑒𝑐𝑡𝑜 𝑎 𝑟𝑒𝑔𝑢𝑙𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑓𝑖𝑛𝑎𝑛𝑐𝑖𝑒𝑟𝑎𝑠

EG07

Grado de satisfacción del consejo de administración y la dirección ejecutiva con la información para la toma de decisiones

𝑋 =

𝑁𝑜. 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎𝑑𝑜𝑠 𝑝𝑎𝑟𝑎

𝑙𝑎 𝑡𝑜𝑚𝑎 𝑑𝑒 𝑑𝑒𝑠𝑖𝑐𝑖𝑜𝑛𝑒𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠

𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠

Relación y extensión de las decisiones de negocio erróneas en las que la información errónea o no disponible relacionada con

𝑋 =

𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑒𝑠𝑡𝑟𝑎𝑡𝑒𝑔𝑖𝑐𝑎𝑠 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠

𝑁𝑜. 𝑑𝑒 𝑚𝑒𝑡𝑎𝑠 𝑑𝑒 𝑇𝐼 𝑎𝑙𝑐𝑎𝑛𝑧𝑎𝑑𝑎𝑠

Número de incidentes causados 𝑋 =

𝑁𝑜. 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑐𝑎𝑢𝑠𝑎𝑑𝑜𝑠 𝑝𝑜𝑟 𝑑𝑒𝑐𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑒𝑟𝑟ó𝑛𝑒𝑎𝑠

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

164

por decisiones erróneas de negocio basadas en información imprecisa

I&T fue un factor clave

Tiempo que se tarda en proporcionar la información que respalde la toma de decisiones empresariales eficaces

𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑠𝑜𝑙𝑖𝑐𝑖𝑡𝑢𝑑

𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛

−

𝑇𝑖𝑒𝑚𝑝𝑜 𝑒𝑛𝑡𝑟𝑒𝑔𝑎 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛

Periodicidad de la información sobre gestión

𝑋 = 𝑇𝑖𝑒𝑚𝑝𝑜 𝑑𝑒 𝑝𝑒𝑟𝑖𝑜𝑐𝑖𝑑𝑎𝑑 𝑑𝑒

𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑠𝑜𝑏𝑟𝑒 𝑔𝑒𝑠𝑡𝑖ó𝑛

Porcentaje de información que satisface los criterios de calidad

𝑋 =

𝐼𝑛𝑓𝑜𝑟𝑚𝑒𝑠 𝑐𝑜𝑛 𝑐𝑎𝑙𝑖𝑑𝑎𝑑

𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑓𝑜𝑟𝑚𝑒𝑠

𝑔𝑒𝑛𝑒𝑟𝑎𝑑𝑜𝑠

EG08

Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso empresarial

Mediante la aplicación de cuestionarios es posible consultarlo directamente con el usuario, y con base a los resultados obtenidos se puede aplicar la siguiente formula:

𝑋 = % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛 𝑎𝑙𝑡𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛

− % 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐𝑜𝑛

𝑏𝑎𝑗𝑎 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛

(Zone, 2019)

Niveles de satisfacción de los clientes con las capacidades de prestación de servicios Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro

EG12

Número de programas ejecutados a tiempo y dentro del presupuesto

𝑋 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑒𝑗𝑒𝑐𝑢𝑡𝑎𝑑𝑜𝑠 𝑎 𝑡𝑖𝑒𝑚𝑝𝑜 𝑦 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜

Porcentaje de partes interesadas satisfechas con la ejecución del programa

𝑋 =

𝑁𝑜. 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑒𝑐ℎ𝑜𝑠

𝑐𝑜𝑛 𝑙𝑎 𝑒𝑗𝑒𝑐𝑢𝑐𝑖ó𝑛 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑚𝑎

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠/𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠

Porcentaje de programas de transformación del negocio detenidos

𝑋 =

𝑁𝑜.𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙

𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑟𝑒𝑡𝑒𝑛𝑖𝑑𝑜𝑠𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛

𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜

∗ 100

Porcentaje de programas de transformación del negocio con actualizaciones del estado notificadas regularmente

𝑋 =

𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑑𝑒𝑙

𝑛𝑒𝑔𝑜𝑐𝑖𝑜 𝑐𝑜𝑛 𝑎𝑐𝑡𝑢𝑎𝑙𝑖𝑧𝑎𝑐𝑖𝑜𝑛𝑒𝑠

𝑑𝑒 𝑒𝑠𝑡𝑎𝑑𝑜 𝑛𝑜𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑎𝑠

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑃𝑟𝑜𝑔𝑟𝑎𝑚𝑎𝑠 𝑑𝑒 𝑡𝑟𝑎𝑛𝑠𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛

𝑑𝑒𝑙 𝑛𝑒𝑔𝑜𝑐𝑖𝑜

∗ 100

165

Procesos

APO11.01 Establecer un sistema de gestión de calidad (SGC)

Descripción: Establecer y mantener un sistema de gestión de calidad (SGC)

que proporciona un enfoque estándar, formal y continuo para la gestión de calidad de la

información. El SGC debería habilitar la tecnología y los procesos del negocio que están

alineados con los requisitos del negocio y la gestión de la calidad empresarial. (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Métricas: De las métricas propuestas por COBIT 2019, se seleccionan métricas

y se define las fórmulas de cálculo para el indicador que medirá el proceso.

• Métricas Recomendadas:

o Porcentaje de la eficacia de las revisiones de gestión de la calidad

𝑿 = 𝑁𝑜. 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑠𝑎𝑡𝑖𝑠𝑓𝑎𝑐𝑡𝑜𝑟𝑖𝑎𝑚𝑒𝑛𝑡𝑒

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠∗ 100%

o Porcentaje de satisfacción de partes interesadas clave con el programa

de revisión de gestión de la calidad

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑎𝑐𝑒𝑝𝑡𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 é𝑥𝑖𝑡𝑜

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑑𝑒𝑙 𝑝𝑟𝑜𝑔𝑟𝑎𝑚𝑎∗ 100%

Actividades: El conjunto de actividades que describen el proceso para

Establecer un sistema de gestión de calidad (SGC), COBIT propone las siguientes

actividades detalladas en la Tabla 51, las mismas que se deberán ejecutar en la DTIC,

las cuales se incluyen como parte de la definición del proceso.

166

Tabla 51

Actividades proceso APO11.01

Ref. Actividad Nivel de

Capacidad Actividades en la DTIC

A1.

Asegurar que el marco de control de I&T y los procesos empresariales y de TI, incluyen una estrategia estándar, formal y continua con respecto a la gestión de la calidad que está alineada con los requisitos de la empresa. Dentro del marco de control de I&T y los procesos empresariales y de TI, identificar los requisitos y criterios de calidad

3

La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos, tanto para quien los elabora como para quien los recibe.

A2.

Definir roles, tareas y derechos de decisión y responsabilidades para la gestión de la calidad en la estructura organizativa.

La DTIC deberá analizar los diferentes roles planteados en el proyecto, en función de las distintas actividades que se plantean en el proceso de calidad y adaptarlos a los roles actualmente definidos.

A3.

Obtener insumos de la dirección y las partes interesadas externas e internas sobre la definición de los requisitos de calidad y los criterios de gestión de la calidad.

La DTIC deberá implementar un plan donde se defina los parámetros de aceptación para la entrega y recepción de insumos, para el cumplimiento de los diversos proyectos y servicios.

A4.

Gestionar y revisar regularmente el SGC frente a los criterios de aceptación acordados. Incluir retroalimentación de los clientes, usuarios y dirección

4

La DTIC deberá implementar parámetros de aceptación donde se pueda identificar que se cumpla y se puedan satisfacer las necesidades de los clientes, en cuanto a los entregables proporcionados.

A5. Responder a las discrepancias de los resultados de la revisión para mejorar continuamente el SGC

5

La DTIC deberá establecer un plan con una periodicidad adecuada, que permita analizar los procesos, programas y proyectos implementados para realizar los respectivos ajustes que permitan mejorar continuamente.

167

APO11.02: Enfocar la gestión de la calidad en los clientes

Descripción: Enfocar la gestión de la calidad en los clientes para determinar

sus requisitos y asegurar su integración en las prácticas de gestión de la calidad.

(ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018)




o Porcentaje de satisfacción del cliente

𝑿 =

𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑖𝑒𝑟𝑜𝑛 𝑙𝑎𝑠 𝑒𝑥𝑝𝑒𝑐𝑡𝑎𝑡𝑖𝑣𝑎𝑠 𝑑𝑒𝑙 𝑐𝑙𝑖𝑒𝑛𝑡𝑒

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠∗ 100%

o Porcentaje de requisitos y expectativas del cliente comunicadas a la

empresa y la organización de TI

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑐𝑜𝑚𝑢𝑛𝑖𝑐𝑎𝑑𝑜𝑠 𝑎 𝑙𝑎 𝑒𝑚𝑝𝑟𝑒𝑠𝑎 𝑦 𝑎 𝑇𝐼

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑒𝑟𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝑟𝑒𝑐𝑖𝑏𝑖𝑑𝑜𝑠 ∗ 100%

Actividades: El conjunto de actividades que describen el proceso para Enfocar

la gestión de la calidad en los clientes, COBIT propone las siguientes actividades

detalladas en la Tabla 52, las mismas que se deberán ejecutar en la DTIC, las cuales se

incluyen como parte de la definición del proceso.

168

Tabla 52



Capacidad

Actividades en la DTIC

A1.

Enfocar la gestión de la calidad en los clientes para determinar los requisitos del cliente interno y externo y asegurar el alineamiento de los estándares y las prácticas de I&T. Definir y comunicar los roles y responsabilidades relacionados con la resolución de conflictos entre el usuario/cliente y la organización de TI.

3

La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos, tanto para quien los elabora como para quien los recibe.

A2.

Gestionar las necesidades y expectativas empresariales para cada proceso de negocio y servicio operativo y nuevas soluciones de TI. Mantener sus criterios de aceptación de calidad.

La DTIC deberá analizar los criterios de aceptación de cada uno de los procesos y proyectos planteados, indicando el cumplimiento de estos.

A3.

Comunicar los requisitos y expectativas del cliente al negocio y la organización de TI

La DTIC deberá plantear un formato de cumplimiento de acuerdo a cada requerimiento o proyecto realizado, el cual le permita respaldar las entregas a tiempo y el cumplimiento de todos los requerimientos entregados.

A4.

Obtener las opiniones de clientes de forma periódica sobre los procesos de negocio y la prestación de servicios y entrega de soluciones de TI. Determinar el impacto de los estándares y prácticas de I&T y garantizar que se satisfagan y pongan en práctica las expectativas del cliente.

4

La DTIC deberá realizar reuniones periódicas, las cuales les permita mejorar los niveles de satisfacción de los clientes.

A5. Capturar los criterios de aceptación de calidad para su inclusión en los SLA.

La DTIC deberá compartir con la organización los niveles SLA acordados con los responsables de cada proceso y servicio ofertado por la DTIC.

169

APO11.03 Gestionar los estándares, prácticas y procedimientos de calidad e

integrar la gestión de la calidad en los procesos y soluciones clave.

Descripción: Identificar y mantener los requisitos, estándares, procedimientos y

prácticas para los procesos clave con el fin de guiar a la empresa hacia el logro de los

estándares de gestión de la calidad (SGC) acordados. Esta actividad debería alinearse

con los requisitos del marco de control de I&T. Considerar la certificación de procesos

clave, unidades organizativas, productos o servicios. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018)




o Porcentaje del número de procesos con requisitos de calidad definidos.

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑟𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑 𝑑𝑒𝑓𝑖𝑛𝑖𝑑𝑜𝑠

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠∗ 100%

o Porcentaje del número de defectos descubiertos antes del paso a

producción

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑑𝑒𝑓𝑒𝑐𝑡𝑜𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑜𝑠

𝑁𝑜. 𝑑𝑒 𝑟𝑒𝑣𝑖𝑠𝑖𝑜𝑛𝑒𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠∗ 100%

o Porcentaje del número de servicios con un plan formal de gestión de la

calidad

𝑿 =

𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑝𝑙𝑎𝑛 𝑓𝑜𝑟𝑚𝑎𝑙 𝑑𝑒 𝑔𝑒𝑠𝑡𝑖𝑜𝑛 𝑑𝑒 𝑙𝑎 𝑐𝑎𝑙𝑖𝑑𝑎𝑑

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠∗ 100%

o Porcentaje del número de SLAs que incluyen criterios de aceptación de

la calidad

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑑𝑒 𝑎𝑐𝑒𝑝𝑡𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑆𝐿𝐴𝑠 𝑎𝑝𝑙𝑖𝑐𝑑𝑜𝑠∗ 100%

170


Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de

la calidad en los procesos y soluciones clave, COBIT propone las siguientes actividades

detalladas en la Tabla 53, las mismas que se deberán ejecutar en la DTIC, las cuales se


Tabla 53




A1.

Definir los estándares, prácticas y procedimientos de gestión de la calidad en línea con los requisitos del marco de control de I&T y los criterios y políticas de gestión de la calidad empresariales.

2

La DTIC deberá ajustar todos sus procesos, proyectos y programas al estándar de aseguramiento de la calidad definido en este proyecto, con lo cual se pueda cumplir con los acuerdos propuestos tanto para quien los elabora como para quien los recibe.

A2.

Integrar las prácticas de gestión de la calidad requeridas en procesos y soluciones clave en toda la organización.

3

La DTIC deberá ajustar sus procesos y soluciones a medida que las mismas, puedan generar mayor valor agregado a la organización.

A3.

Cuantificar los beneficios y costes de las certificaciones de calidad

A4.

Comunicar de forma eficaz el enfoque de gestión de la calidad

La DTIC deberá implementar el proceso de calidad, mismo que deberá ser difundido en un plan de capacitación para la organización.

A5.

Registrar y monitorizar los datos de calidad. Usar buenas prácticas de la industria como referencia a la hora de mejorar y personalizar las prácticas de calidad de la empresa

4

La DTIC deberá implementar un proceso que permita ejecutar el monitoreo constante de los procesos implementados

A6.

Revisar regularmente la relevancia, eficiencia y eficacia continua de los procesos específicos de gestión de calidad. Monitorizar el logro de los objetivos de calidad.

171

APO11.04 Llevar a cabo la monitorización, control y revisiones de calidad.

Descripción: Monitorizar la calidad de los procesos y los servicios de forma

continua, en línea con los estándares de gestión de la calidad. Definir, planificar e

implementar medidas para monitorizar la satisfacción del cliente con la calidad, así

como con el valor proporcionado por el sistema de gestión de la calidad (SGC). El

Dueño del proceso debería utilizar la información recopilada para mejorar la calidad.





o Porcentaje de soluciones y servicios entregados con certificación formal.

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑐𝑜𝑛 𝑐𝑒𝑟𝑡𝑖𝑓𝑖𝑐𝑎𝑐𝑖ó𝑛 𝑓𝑜𝑟𝑚𝑎𝑙

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑜𝑙𝑢𝑐𝑖𝑜𝑛𝑒𝑠 𝑦 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠∗ 100%

o Calificación promedio de satisfacción de las partes interesadas con las

soluciones y los servicios. Siendo i las calificaciones obtenidas y n el

número de calificaciones, se tiene:

𝑿 = ∑ 𝑋𝑖𝑛

𝑖=1𝑛

o Porcentaje del número de procesos con un reporte formal de evaluación

de la calidad

𝑿 =

𝑁𝑜. 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠 𝑐𝑜𝑛 𝑢𝑛 𝑟𝑒𝑝𝑜𝑟𝑡𝑒 𝑓𝑜𝑟𝑚𝑎𝑙 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖ó𝑛 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑠𝑜𝑠∗ 100%

o Porcentaje de proyectos revisados que cumplen con las metas y los

objetivos de calidad esperados

𝑿 =

𝑁𝑜 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑞𝑢𝑒 𝑐𝑢𝑚𝑝𝑙𝑒𝑛 𝑐𝑜𝑛 𝑚𝑒𝑡𝑎𝑠 𝑦 𝑜𝑏𝑗𝑒𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑐𝑎𝑙𝑖𝑑𝑎𝑑

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑦𝑒𝑐𝑡𝑜𝑠 𝑟𝑒𝑣𝑖𝑠𝑎𝑑𝑜𝑠∗ 100%

172

o Número, robustez y plazo de los análisis de riesgo.

𝑿 = 𝑁𝑜. 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑜

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑝𝑙𝑎𝑛𝑖𝑓𝑖𝑐𝑎𝑑𝑜∗ 100%

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑒𝑙𝑖𝑚𝑖𝑛𝑎𝑑𝑜𝑠/𝑚𝑖𝑡𝑖𝑔𝑎𝑑𝑜𝑠

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠∗ 100%

𝑿 = 𝑃𝑙𝑎𝑧𝑜 𝑑𝑒 𝑡𝑖𝑒𝑚𝑝𝑜 𝑝𝑎𝑟𝑎 𝑒𝑙 𝑎𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜

Actividades: El conjunto de actividades que describen el proceso para Llevar a

cabo la monitorización, control y revisiones de calidad, COBIT propone las siguientes

actividades detalladas en la Tabla 54, las mismas que se deberán ejecutar en la DTIC,


Tabla 54


Ref.

Actividad Nivel de


A1.

Preparar y realizar las revisiones de calidad para procesos y soluciones organizativas clave.

3

La DTIC deberá difundir su proceso de calidad e implementarlo en los diversos servicios y productos que agreguen valor a la organización.

A2.

Para estos procesos y soluciones organizativas clave, monitorizar las métricas de calidad basadas en metas alineadas con los objetivos generales en cuanto a calidad.

4

La DTIC deberá implementar indicadores de gestión, los cuales se encuentran alineados a los objetivos estratégicos.

A3.

Asegurar que la dirección y los responsables de los procesos revisen regularmente el rendimiento de la gestión de la calidad en comparación con las métricas de calidad definidas

La DTIC deberá elaborar reportes de gestión, que permitan validar la implementación adecuada de los procesos.

A4.

Analizar los resultados generales del rendimiento de gestión de la calidad

La DTIC deberá analizar los resultados y elaborar planes de mejora, que permitan elevar el rendimiento de cada uno de los procesos implementados.

A5.

Informar sobre los resultados de revisión de rendimiento y gestión de la calidad e iniciar las mejoras necesarias

5

La DTIC deberá generar reportes de gestión, que permitan a los mandos superiores estar al tanto de los resultados obtenidos de cada implementación realizada.

173

APO11.05 Mantener la mejora continua.

Descripción: Mantener y comunicar periódicamente un plan de calidad general

que promueva la mejora continua. El plan debería definir la necesidad y los beneficios

de la mejora continua. Obtener y analizar datos sobre el sistema de gestión de la

calidad (SGC) y mejorar su efectividad. Corregir las no conformidades para evitar la

recurrencia. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)




o Número de análisis de causa raíz completados.

𝑿 = 𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑠𝑢𝑒𝑙𝑡𝑜𝑠

𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

∗ 100%

o Porcentaje de servicios y productos completados dentro del plazo.

𝑿 = 𝑁𝑜. 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠 𝑐𝑜𝑚𝑝𝑙𝑒𝑡𝑎𝑑𝑜𝑠 𝑑𝑒𝑛𝑡𝑟𝑜 𝑑𝑒𝑙 𝑝𝑙𝑎𝑧𝑜

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑠𝑒𝑟𝑣𝑖𝑐𝑖𝑜𝑠 𝑦 𝑝𝑟𝑜𝑑𝑢𝑐𝑡𝑜𝑠∗ 100%


Mantener la mejora continua, COBIT propone las siguientes actividades detalladas en la

Tabla 55, las mismas que se deberán ejecutar en la DTIC, las cuales se incluyen como

parte de la definición del proceso.

174

Tabla 55




A1.

Establecer una plataforma para compartir buenas prácticas y captar información sobre los defectos y errores para permitir el aprendizaje a partir de ellos

2

La DTIC deberá elaborar tableros de BI que permitan la gestión y la toma de decisiones de cada uno de los proyectos entregados.

A2.

Identificar ejemplos de procesos de entrega de calidad excelente que puedan beneficiar a otros servicios o proyectos. Compartirlos con los equipos de ejecución de proyectos y servicios para fomentar la mejora.

3

La DTIC deberá elaborar planes de mejora de los procesos y servicios implementados

A3.

Identificar ejemplos recurrentes de defectos de calidad. Determinar su causa raíz, evaluar su impacto y resultado y acordar acciones de mejora con los equipos de ejecución del servicio y/o proyecto.

La DTIC deberá implementar matrices, que permitan identificar los diferentes riesgos y problemas, que puedan afectar a los procesos y proyectos previamente implementados.

A4.

Proporcionar a los empleados formación en métodos y herramientas de mejora continua

La DTIC deberá desarrollar planes de capacitación, que permita al personal de la organización estar capacitado para la implementación de nuevas mejoras.

A5.

Hacer un análisis comparativo de los resultados de benchmarks de calidad con los datos históricos internos, directrices de la industria, estándares y datos de tipos de empresas similares.

4

La DTIC deberá elaborar actualizaciones periódicas de los procesos, servicios o productos entregados a la organización, en los cuales se haya implementado mejoras y permita generar valor agregado a la institución.

175

Estructuras Organizativas

Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:

Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las

responsabilidades de cada actor que participa en cada uno de los procesos descritos.

La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las

columnas los actores; en la intersección de cada fila con cada columna, se asigna la

responsabilidad de cada rol, como se muestra en la Figura 47

Figura 47

Matriz de Responsabilidades


Gestión, 2018)

176

Flujos y elementos de comunicación

Este componente de gobierno indica una guía sobre los flujos y elementos de

comunicación relacionados con la práctica de los cinco procesos del objetivo APO11,

incluye entradas, salidas y se incluye origen y destino (Tabla 56).

Tabla 56


ENTRADAS SALIDAS

Práctica de Gestión De Descripción Descripción A

APO11.01

Establecer un sistema de gestión de calidad (SGC).

Fuera de COBIT

Sistema de calidad empresarial

Roles, responsabilidades y derechos de decisión del sistema de gestión de calidad (SGC)

APO11.05 Mantener la mejora continua DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad.

Planes de gestión de la calidad

APO14.04 Definir una estrategia de calidad de los datos. APO14.06 Asegurar un enfoque de evaluación de la calidad de los datos BAI01.07 Gestionar la calidad del programa. BAI11.05 Gestionar la calidad del proyecto.

Resultados de las revisiones de eficiencia del SGC

BAI03.06 Realizar el aseguramiento de calidad (QA)

APO11.02

Enfocar la gestión de la calidad en los clientes

Fuera de COBIT

Requisitos de calidad del negocio y los clientes

Requisitos del cliente para la gestión de la calidad

APO08.05 Proporcionar aportes para la mejora continua de los servicios APO09.03 Definir y preparar acuerdos de servicio BAI01.07 Gestionar la calidad del programa BAI11.06 Gestionar el riesgo del proyecto.

Resultados de la calidad del servicio, incluida la retroalimentación de los clientes

APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.05 Revisar los acuerdos y los contratos de servicio BAI05.01 Establecer el deseo de cambiar. BAI07.07 Proporcionar soporte oportuno en producción

177

ENTRADAS SALIDAS


Criterios de aceptación

BAI02.01 Definir y mantener los requisitos funcionales y técnicos del negocio BAI02.02 Realizar un estudio de factibilidad y formular soluciones alternativas

APO11.03

Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de la calidad en los procesos y soluciones clave

BAI02.04 Obtener la aprobació

n de requisitos

y soluciones

Revisión de la calidad

aprobada

Estándares de gestión de

calidad

TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA

178

ENTRADAS SALIDAS


MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento

Fuera de COBIT

•Certificaciones de calidad disponibles • Buenas prácticas de la industria

Causas raíz de los fallos de entrega de calidad

APO08.02 Alinear la estrategia de I&T con las expectativas empresariales e identificar oportunidades para que TI mejore el negocio APO09.04 Monitorizar y reportar los niveles de servicio BAI07.08 Realizar una revisión post-implementación MEA02.04 Identificar e informar las deficiencias de control MEA04.04 Definir el alcance de la iniciativa de aseguramiento.

Resultados de la monitorización de la calidad

APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.04 Monitorizar y reportar los niveles de servicio BAI07.08 Realizar una revisión post implementación

APO11.04

Llevar a cabo la monitorización, control y revisiones de calidad.

BAI03.06 Realizar el asegurami

ento de calidad (QA)

• Plan de aseguramiento de calidad • Resultados, excepciones y correcciones de la revisión de calidad

Metas y métricas del proceso de calidad del servicio

TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas

179

ENTRADAS SALIDAS


BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento

DSS02.07 Hacer

seguimiento al

estado y producir informes

• Estado de incidentes e informe de tendencias • Estado de cumplimiento de peticiones e informe de tendencias

Resultados de las revisiones y auditorías de calidad

APO08.05 Proporcionar aportes para la mejora continua de los servicios. APO09.04 Monitorizar y reportar los niveles de servicio. APO09.05 Revisar los acuerdos y los contratos de servicio. BAI07.08 Realizar una revisión post-implementación

APO11.05 Mantener la mejora continua

Resultados del benchmark de revisión de calidad

TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes

180

ENTRADAS SALIDAS


APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento

Ejemplos de buenas prácticas a compartir

TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes

181

ENTRADAS SALIDAS


APO07.- Gestionar los recursos humanos APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento

Comunicaciones sobre mejora continua y mejores prácticas

TODOS LOS APO APO01.- Gestionar el marco de gestión de I&T. APO02.- Gestionar la estrategia APO03.- Gestionar la arquitectura empresarial APO04.- Gestionar la innovación APO05.- Gestionar el portafolio APO06.- Gestionar el presupuesto y los costes APO07.- Gestionar los recursos humanos

182

ENTRADAS SALIDAS


APO08.- Gestionar las relaciones APO09.- Gestionar los acuerdos de servicio APO10.- Gestionar los proveedores APO11.- Gestionar la calidad APO12.- Gestionar el riesgo APO13.- Gestionar la seguridad APO014.- Gestionar los datos TODOS LOS BAI BAI01.- Gestionar los programas BAI02.- Gestionar la definición de requisitos BAI03.- Gestionar la identificación y construcción de soluciones BAI04.- Gestionar la disponibilidad y capacidad BAI05.- Gestionar el cambio organizativo BAI06.- Gestionar los cambios de TI BAI07.- Gestionar la aceptación y la transición de los cambios de TI BAI08.- Gestionar el conocimiento BAI09.- Gestionar los activos BAI10.- Gestionar la configuración BAI11.- Gestionar los proyectos TODOS LOS DSS DSS01.- Gestionar las operaciones DSS02.- Gestionar las peticiones y los incidentes de servicio DSS03.- Gestionar los problemas DSS04.- Gestionar la continuidad DSS05.- Gestionar los servicios de seguridad DSS06.- Gestionar los controles de procesos de negocio TODOS LOS MEA MEA01.- Gestionar la monitorización del desempeño y la conformidad. MEA02.- Gestionar el sistema de control interno MEA03.- Gestionar el cumplimiento de los requisitos externos MEA04.- Gestionar el aseguramiento

Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)

183

Personas, habilidades y competencias

COBIT con base al Skills Framework for the Information Age (SFIA®) V6

(versión 6), define los siguientes recursos humanos y habilidades que se requieren para

alcanzar el objetivo de gestión APO11: Gestionar la calidad. (ISACA, Marco de


• Aseguramiento de calidad (QUAS)

• Gestión de la calidad (QUMG)

• Estándares de calidad (QUST)

Políticas y Procedimientos

Este componente proporciona una guía de políticas y procedimientos relevantes

para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y

una descripción; en el caso del objetivo de gobierno APO11: Gestionar la calidad, se

especifica la política indicada a continuación (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018).

• Política Relevante: Política de gestión de la calidad

• Descripción de la Política Captar la visión de la gestión de los objetivos de calidad

de la empresa, nivel de calidad aceptable y labores de equipos y entidades

específicas para garantizar la calidad.

Cultura, ética y comportamiento

Este componente desea promover una cultura de calidad y mejora continua.

Mantener y comunicar periódicamente la necesidad, y los beneficios, de la calidad y la

mejora continua, en el caso del objetivo de gestión APO11: Gestionar la calidad se

184

tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019: Objetivos de

Gobierno y Gestión, 2018).

• Elementos Culturales Clave:

• SGC

• Servicios de aseguramiento de calidad de terceros.

Servicio, infraestructuras y aplicaciones

Servicio de Aseguramiento de Calidad

Este componente de gobierno proporciona una guía sobre el servicio del

aseguramiento de la calidad a terceros que puede utilizarse para lograr la consecución

de los objetivos de gobierno y gestión, en este caso, del objetivo de gestión APO11:

Gestionar la calidad.

Se procedió con el levantamiento de la información de la DTIC respecto a

Gestión de Calidad, donde se obtuvo como resultado que la institución no cuenta con un

servicio o proceso definido, el cual les permita asegurar la calidad de los

requerimientos, proyectos o que los desarrollos entregados sean de calidad y que

puedan satisfacer las diversas necesidades de los usuarios.

Es por este motivo que se ha propuesto la elaboración de un proceso de calidad

para la DTIC, mismo que se detalla a continuación:

El proceso de QA se basará en el enfoque llamado Test-Driven Requeriments

Engineering (TDRE), donde los requisitos son especificados esencialmente mediante

Pruebas de Aceptación; estas Pruebas de Aceptación que deben ser definidas en

función a las diferentes necesidades, permitirán organizar el trabajo con base a la

metodología de desarrollo, además otorgar a los proyectos de una estructura basada en

185

un grafol, donde las funcionalidades están representadas como nodos y dentro de estas

encontramos las distintas PA (Prueba de Aceptación) que especifican su

correcto/deseado funcionamiento. (Sanchis Milla, 2015)

Características de un PA

Las principales características que se pueden indicar son: (Sanchis Milla, 2015)

• Una PA tiene como propósito demostrar al cliente el cumplimiento de un requisito

del software.

• Describe un escenario, compuesto por una situación del sistema (condición de

ejecución) una secuencia de pasos de uso y el resultado alcanzado, todo ello desde

la perspectiva del usuario.

• Puede estar asociada a requisitos funcionales o no funcionales.

• Un requisito tendrá una o más PA asociadas.

• Las PA cubren desde escenarios típicos/frecuentes hasta los más excepcionales.

En la Figura 48 se muestra el contexto de TDRE usando como marco el Modelo V.

Figura 48

Contexto de TDRE

Nota. (Sanchis Milla, 2015)

186

Con ello se definió el servicio de calidad, el cual se generará en el siguiente

formato estándar propuesto en los servicios previamente realizados:

• Código de servicio

• Versión

• Nivel de Servicio

SERVICIO DE ASEGURAMIENTO DE LA CALIDAD EN DESARROLLO DE SOFTWARE

I. Diagnóstico Inicial

Al iniciar con levantamiento del servicio de aseguramiento de la calidad se pudo identificar que no se cuenta con un flujo de calidad definido, o niveles de servicio determinados; puesto que al realizar una evaluación del estado actual de la DTIC se vio necesaria la definición como un servicio que permita definir un estándar en el desarrollo de nuevos procesos, proyectos o servicios.

II. Levantamiento de procesos actuales


Código STI.QA.02

Nombre Gestión de la Calidad

Descripción

El siguiente servicio permitirá a la DTIC tomar un control de cada uno de los procesos, servicios u proyectos, definiendo un formato estándar para el levantamiento de requerimientos, en el cual se indique las necesidades y acuerdos de cada una de las necesidades solicitadas, garantizando satisfacción de los clientes internos y externos en la entrega de los mismos.

Estado En Proceso

Versión 1.0

Fecha puesta en operación

2019

Fecha finalización En Proceso

187

Contacto Soporte Mayo. Ocampo mail:[email protected]

Contacto para modificaciones

Ing. Gilma Toaza mail: [email protected]

Propietario La Dirección de Tecnologías de la Información y Comunicaciones (DTIC)

Clientes Usuarios unidades militares

INTRODUCCIÓN

El servicio de aseguramiento de calidad permitirá garantizar en cada uno de los entregables el cumplimiento de todas las necesidades solicitadas, a su vez dicho servicio permitirá mitigar la cantidad de errores que puedan surgir en su entrega.

ALCANCE

Inicia con:

a) Elaboración de requerimiento con todas las necesidades

b) Se genera un oficio de la solicitud del requerimiento en el Gestor Documental (Chasqui)

c) DTIC recepta el requerimiento d) Se evalúa la factibilidad del desarrollo del

requerimiento e) Se envía una respuesta al solicitante f) Se procede con la asignación del requerimiento al

responsable

Termina con:

a) Se realiza pruebas de validación con el usuario solicitante

b) Se realiza acta entrega del requerimiento c) Se firma el acuerdo de la entrega del requerimiento d) Cierre de oficio en el sistema Chasqui

OBJETIVO

Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de cada uno de los entregables.

SERVICIO CONTIENE

Es aplicable para procesos, servicios o proyectos que se desarrolle por parte de la DTIC

EXCLUSIONES

Mantenimiento de Hardware o Software


Responsables a) Mayo. Ocampo b) Ing. Gilma Toaza

Clientes a) Usuarios de unidades militares

Servicios Relacionados

a) Todos los servicios b) Todos los procesos

188

ESPECIFICACIONE

c) Todos los proyectos

Entradas a) Documento mediante el Gestor Documental

(Chasqui), escalado hacia la DTIC.

Entregables a) Informe de trabajos realizados b) Informe de pruebas de calidad realizadas c) Entrega del Requerimiento

Funciones

a) Revisar los requerimientos b) Analizar la factibilidad del requerimiento c) Elaborar la una matriz de riesgos d) Desarrollar el requerimiento e) Elaborar Pruebas de Calidad f) Elaborar documento de entrega del proyecto g) Documento de firma de aceptación

ESPECIFICACIONES

Restricciones a) Administración de equipos

Nivel de Servicio a) Urgente: 2 hora b) Medio: 4 horas c) Bajo: más de 4 horas

Horarios b) El servicio se encuentra activo las 8 horas al día los 5 días de la semana


Nivel de servicio

Tiempo Respuesta Incidentes: 2 horas

Tiempo resolución incidentes: 3 horas

Tiempo escalamiento: 1 hora

Nivel de soporte

Tiempo Respuesta Incidentes: 2 horas


Tiempo escalamiento: 1 hora


Nivel 1 [email protected]

Nivel 2 Desarrollo Software : Mayo. Velastegui Andrés

189

III. Niveles de servicio

IN

DIC

AD

OR

OP

ER

AT

IVO

PE

SO

DE

L

IND

ICA

DO

R

OP

ER

AT

IVO

RA

TIO

PE

SO

DE

L

RA

TIO

VA

LO

R

OB

JE

TIV

O

MÍN

IMO

VA

LO

R

OB

JE

TIV

O

ES

PE

RA

DO

CO

ND

ICIÓ

N

DE

ME

DID

A

FU

EN

TE

FÓ

RM

UL

A D

E

CÁ

LC

UL

O

DE

MA

ND

A

(um

bra

l)

Desempeño 100%

Tiempo de

atención del

requerimiento

40%

80% 85%

Tiempo en estado sin atención

desde que el

requerimiento fue

reportado

Chasqui

(# Requerimientos atendidos en el tiempo comprometido / # Total Requerimientos Recibidos)*100

5

Tiempo de

Resolución del

requerimiento

40%

80% 85%

Tiempo en estado sin atención

desde que el

requerimiento fue

reportado

Chasqui

(# Requerimientos resueltos en el tiempo comprometido / # Total Requerimientos Recibidos)*100

5

Número de

desarrollos

revisados

45%

80% 85%

Número de

desarrollos

solicitados para la revisión

Chasqui Número de desarrollos revisados

10

190

IV. Diagrama del Proceso

191

Gestionar los servicios de seguridad. DSS05

Descripción

Proteger la información de la empresa para mantener el nivel de riesgo de la

seguridad de la información aceptable para la empresa, conforme con la política de

seguridad. Establecer y mantener roles y privilegios de acceso de seguridad de la

información. Realizar una monitorización de la seguridad. (ISACA, Marco de referencia

COBIT 2019: Objetivos de Gobierno y Gestión, 2018)

Propósito

Minimizar el impacto en el negocio de las vulnerabilidades e incidentes

operativos de seguridad de la información. (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018)

Metas empresariales/alineamiento y métricas

DSS05 respalda la consecución de las metas empresariales y de alineamiento

como se indica en la Tabla 57. Por otra parte, de las métricas propuestas por COBIT

2019, se seleccionan métricas y se define una fórmula de cálculo para el indicador que

medirá el proceso (Tabla 58)

Tabla 57

Metas empresariales y de alineamiento de DSS05

METAS EMPRESARIALES/ALINEAMIENTO

DSS05. GESTIONAR LOS SERVICIOS DE SEGURIDAD

META EMPRESARIAL META DE ALINEAMIENTO Ref. Descripción Ref. Descripción

EG02 Gestión de riesgo del negocio AG02 Gestión de riesgo relacionado con I&T

EG06

Continuidad y disponibilidad del servicio del negocio

AG07

Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad

192

Tabla 58

Métricas de DSS05 para DTIC

Procesos

DSS05.01 Proteger contra software malicioso

Descripción: Implementar y mantener en toda la empresa medidas preventivas,

detectivas y correctivas (especialmente parches de seguridad y control de virus

actualizados) para proteger los sistemas de información y la tecnología del software

malicioso (p. ej., ransomware, malware, virus, gusanos, spyware y spam). (ISACA,


MÉTRICAS

DSS05. Gestionar los servicios de seguridad

META EMPRESARIAL META DE ALINEAMIENTO Ref. Métrica Fórmula de Cálculo Ref. Métrica Fórmula de Cálculo

EG02

Porcentaje de

objetivos y

servicios

empresariales

críticos

cubiertos por la

evaluación de

riesgo

𝑿 =

𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓

𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔

𝒄𝒓í𝒕𝒊𝒄𝒐𝒔

AG2

Porcentaje de

evaluaciones de

riesgo

empresarial que

incluyen el

riesgo

relacionado con

I&T

𝑿 =

𝑶𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐𝒔 𝒄𝒓𝒊𝒕𝒊𝒄𝒐𝒔 𝒄𝒖𝒃𝒊𝒆𝒓𝒕𝒐𝒔 𝒑𝒐𝒓

𝒍𝒂 𝒆𝒗𝒂𝒍𝒖𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒓𝒊𝒆𝒔𝒈𝒐𝑻𝒐𝒕𝒂𝒍 𝒐𝒃𝒋𝒆𝒕𝒊𝒗𝒐𝒔/𝒔𝒆𝒓𝒗𝒊𝒊𝒐𝒔

𝒄𝒓í𝒕𝒊𝒄𝒐𝒔

Número de

incidentes

significativos

que no se

identificaron en

la evaluación de

riesgos frente al

total de

incidentes

𝑿 =

𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔

𝑻𝒐𝒕𝒂𝒍 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔

Número de

incidentes

significativos

relacionados

con I&T que no

se identificaron

en la evaluación

de riesgos

𝑿 =𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 IT

𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔

EG06

Número de

interrupciones

del servicio al

cliente o

procesos

empresariales

que causan

incidentes

significativos

𝑿 = 𝑵𝒐. 𝒅𝒆 𝒊𝒏𝒕𝒆𝒓𝒓𝒖𝒑𝒄𝒊𝒐𝒏𝒆𝒔 𝒅𝒆𝒍 𝒔𝒆𝒓𝒗𝒊𝒄𝒊𝒐 𝒂𝒍 𝒄𝒍𝒊𝒆𝒏𝒕𝒆

AG07

Número de

incidentes de

disponibilidad

que causan

pérdidas

financieras,

interrupción del

negocio o

descrédito

público

𝑿 =𝑵𝒐. 𝒅𝒆 𝑰𝒏𝒄𝒊𝒅𝒆𝒏𝒕𝒆𝒔 𝒅𝒆 𝒅𝒊𝒔𝒑𝒐𝒏𝒊𝒃𝒊𝒍𝒊𝒅𝒂𝒅

𝒏𝒐 𝒊𝒅𝒆𝒏𝒕𝒊𝒇𝒊𝒄𝒂𝒅𝒐𝒔

193


y se define una fórmula de cálculo para el indicador que medirá el proceso.

• Métrica Recomendada:

o Porcentaje de ataques exitosos de software malicioso

𝑿 = 𝑁𝑢𝑚𝑒𝑟𝑜 𝑑𝑒 𝑎𝑡𝑎𝑞𝑢𝑒𝑠 𝑒𝑥𝑖𝑡𝑜𝑠𝑜𝑠

𝑁𝑢𝑚𝑒𝑟𝑜 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐴𝑡𝑎𝑞𝑢𝑒𝑠∗ 100%

Actividades: El conjunto de actividades que describen el proceso de protección

contra software malicioso, planteadas por COBIT son las que se indica en la Tabla 59,

para las cuales se señala las actividades relacionadas que se ejecutan y que se

deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición del

proceso.

Tabla 59

Actividades proceso DSS05.01



A1.

Instalar y activar herramientas de protección contra software malicioso en todas las instalaciones de procesamiento

2

Herramienta de antivirus Bit Defender instalada y activa

A2. Filtrar el tráfico de entrada

Solución única de seguridad UTM funcionando, que integra funciones de filtrado de contenido, firewall de red, etc.

A3.

Comunicación y concienciación sobre software malicioso y hacer cumplir los procedimientos y responsabilidades de prevención. Impartir formación periódica sobre malware en el uso de correo electrónico e Internet.

3

La DTIC deberá definir y comunicar de manera frecuente una política de prevención de software malicioso

A4.

Distribuir todo el software de protección centralmente (versión y parches) usando una

La DTIC deberá optimizar el funcionamiento de la herramienta Bit Defender y Distribuir todo el software de

194



configuración centralizada y la gestión de cambios de TI

protección centralmente (versión y parches) usando una configuración centralizada y la gestión de cambios de TI

A5. Revisar y evaluar la información sobre nuevas amenazas potenciales.

4

La DTIC deberá revisar y evaluar la información sobre nuevas amenazas potenciales, de manera periódica

DSS05.02 Gestionar la seguridad de la conectividad y de la red

Descripción: Usar medidas de seguridad y procedimientos de gestión

relacionados para proteger la información a través de todos los métodos de

conectividad. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)




o Número de brechas en el Firewall

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑏𝑟𝑒𝑐ℎ𝑎𝑠 𝑒𝑛 𝑒𝑙 𝐹𝑖𝑟𝑒𝑤𝑎𝑙𝑙

o Número de vulnerabilidades descubiertas

𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠

Actividades: El conjunto de actividades que describen el proceso de gestionar

la seguridad de la conectividad y de la red, planteadas por COBIT son las que se indica

en la Tabla 60, para las cuales se señala las actividades relacionadas que se ejecutan y

que se deberán ejecutar en la DTIC, las cuales se incluyen como parte de la definición

del proceso.

195

Tabla 60




A1.

Permitir que solo los dispositivos autorizados tengan acceso a la información corporativa y a la red de la empresa

2

La DTIC deberá definir una política de autenticación para los dispositivos que requieran conexión a la red.

A2.

Implementar mecanismos de filtrado de red y software de detección de intrusos. Hacer cumplir las políticas adecuadas para controlar el tráfico entrante y saliente.

Solución única de seguridad UTM funcionando, que integra funciones de filtrado de contenido, firewall de red, etc.

A3.

Configurar el equipo de red de forma segura

La DTIC deberá definir una política de configuración de equipos de red de forma segura

A4. Encriptar la información en tránsito de acuerdo con su clasificación

3

La DTIC deberá realizar encriptación de la información en tránsito.

A5.

Establecer y mantener una política para la seguridad de la conectividad con base en las evaluaciones de riesgo y los requisitos del negocio

La DTIC deberá mantener una política para la seguridad de la conectividad con base en las evaluaciones de riesgo y los requisitos del negocio

A6.

Establecer mecanismos confiables para apoyar la transmisión y recepción segura de la información

La DTIC debe establecer mecanismos confiables para apoyar la transmisión y recepción segura de la información

A7.

Llevar a cabo pruebas periódicas de penetración y a seguridad del sistema para determinar la idoneidad de la protección de la red y del sistema

4

En la DTIC se deberá llevar a cabo pruebas periódicas de penetración y a seguridad del sistema para determinar la idoneidad de la protección de la red y del sistema

196

DSS05.03 Gestionar la seguridad de endpoint

Descripción: Garantizar que los dispositivos de punto final (Endpoint, término

en inglés) tengan una seguridad a un nivel igual o superior al de los requisitos de

seguridad definidos para la información procesada, almacenada o transmitida (ISACA,





o Número de incidentes que involucran a un dispositivo End Point

𝑿𝟏 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑞𝑢𝑒 𝑖𝑛𝑣𝑜𝑙𝑢𝑐𝑟𝑎𝑛 𝑢𝑛 𝐸𝑛𝑑 𝑃𝑜𝑖𝑛𝑡

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠𝑐

∗ 100%

o Número de dispositivos no autorizados detectados en la red o en el

entorno de usuario final

𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜𝑠

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝐷𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠∗ 100%

Actividades: Del conjunto de actividades que describen el proceso de gestionar

la seguridad de endpoint planteadas por COBIT, en la Tabla 61 se describen las

actividades relacionadas con la DTIC, que se ejecutan y que se deberán implementar,


197

Tabla 61




A1.

Configurar los sistemas operativos de forma segura

2

La DTIC mediante el área de Seguridad Lógica deberá incluir la configuración segura de sistemas operativos.

A2. Implementar mecanismos de bloqueo de dispositivos

La DTIC deberá optimizar el funcionamiento de la herramienta Bit Defender para implementar mecanismos de bloqueo de dispositivos

A3.

Implementar el filtrado de tráfico de red en dispositivos de punto final

La DTIC deberá optimizar el funcionamiento del cortafuegos de la herramienta Bit Defender para implementar filtrado de trafico de red

A4. Gestionar la configuración de red de forma segura

La DTIC deberá revisar la política de seguridad para considerar la configuración de red de endpoint de forma segura

A5. Proteger la integridad del sistema

-La DTIC a través del área de seguridad lógica deberá proteger la tanto la integridad de los discos como del sistema de archivos almacenada en los equipos, mediante el uso de herramientas propias de Windows, para revisar si existen sectores dañados u otros errores en los discos. -Además, se debe mantener el software de Antivirus instalado y funcionando de manera correcta - Mantener políticas de copias de seguridad, y - Disponer de planes de contingencia e inventario de todo el software instalado.

A6. Proporcionar protección física a los dispositivos de punto final

La DTIC deberá revisar la política de seguridad para incluir medidas de protección del hardware, que contemple aspectos como: acceso físico, desastres naturales, alteraciones del entorno

198



A7. Eliminar de forma segura los dispositivos Endpoint

La DTIC deberá revisar la política de seguridad para incluir medidas de protección del hardware para incluir la eliminación segura de endpoint.

A8.

Gestionar el acceso malicioso a través del correo electrónico y los navegadores web

La DTIC deberá considerar ampliar las capacidades de seguridad de la herramienta Bitdefender para implementar la funcionalidad de EDR (Endpoint Detection and Response) con el fin de mantener una mayor visibilidad y respuesta ante incidentes de seguridad en puntos finales de la red.

A9.

Encriptar la información almacenada de acuerdo con su clasificación

3

La DTIC deberá considerar la utilización de una herramienta que permita la encriptación de la información almacenada de acuerdo con su clasificación.

DSS05.04: Gestionar la identidad del usuario y el acceso lógico

Descripción: Asegurarse de que todos los usuarios tienen derechos de acceso

a la información de acuerdo con los requisitos del negocio. Coordinarse con las

unidades del negocio que gestionan sus propios derechos de acceso en los procesos

de negocio. (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno y

Gestión, 2018)




o Número de cuentas (vs. número de usuarios/personal autorizado)

𝑿𝟏 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑢𝑠𝑢𝑎𝑟𝑖𝑜𝑠 𝑐

o Número de incidentes relacionados con el acceso no autorizado a la

información.

199

𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑐𝑢𝑒𝑛𝑡𝑎𝑠

𝑃𝑒𝑟𝑠𝑜𝑛𝑎𝑙 𝐴𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜 𝑐

𝑿𝟑 =𝑁𝑜. 𝐼𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑎𝑐𝑐𝑒𝑠𝑜 𝑛𝑜 𝑎𝑢𝑡𝑜𝑟𝑖𝑧𝑎𝑑𝑜


Actividades: Del conjunto de actividades que describen el proceso de Gestionar

la identidad del usuario y el acceso lógico planteadas por COBIT, en la Tabla 62 se

describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán

implementar, las cuales se incluyen como parte de la definición del proceso.

Tabla 62




A1.

Mantener los derechos de acceso de los usuarios de acuerdo con la función del negocio, los requisitos del proceso y las políticas de seguridad.

2

Para cumplir las actividades indicadas en el proceso de Gestionar la identidad del usuario y el acceso lógico, la DTIC deberá considerar la opción de implementar un servidor de Directorio Activo que proporcione las funcionalidades de organización y gestión de los componentes de la red como ordenadores, grupos, usuarios, dominios, varias políticas de seguridad, además de cualquier tipo de objeto definido para el usuario y administración de credenciales. Entre las opciones que se pueden considerar se encuentran, la licenciada de Microsoft Active Directory, o herramientas gratuitas que ofrecen este tipo de

A2.

Administrar oportunamente todos los cambios en los derechos de acceso (creación, modificación y eliminación), basándose únicamente en transacciones aprobadas y documentadas que hayan sido autorizadas por personas designadas por la dirección. 3

A3.

Segregar, reducir al mínimo necesario y gestionar activamente cuentas de usuario privilegiadas.

A4.

Identificar de forma unívoca y por roles funcionales todas las actividades de procesamiento de información.

200



A5.

Autenticar todo el acceso a activos de información de acuerdo con el rol del individuo o a las reglas del negocio.

funcionalidades como Open LDAP, Mandriva Directory Server, etc.

A6.

Garantizar que todos los usuarios (internos, externos y temporales) y su actividad en los sistemas de TI (aplicación de negocio, infraestructura de TI, operaciones, desarrollo y mantenimiento de sistemas) se puedan identificar de manera unívoca.

A7.

Mantener un registro de auditoría del acceso a la información dependiendo de su sensibilidad y de los requisitos regulatorios. 4

A8.

Llevar a cabo revisiones gerenciales periódicas de todas las cuentas y privilegios relacionados.

DSS05.05: Gestionar el acceso físico a los activos de I&T

Descripción: Definir e implantar procedimientos (incluyendo procedimientos de

emergencia)

para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de

acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios y

áreas debe estar justificado, autorizado, registrado y supervisado. Este requisito aplica a

todas las personas que accedan a las instalaciones, incluyendo personal interno,

personal temporal, clientes, proveedores, visitantes y cualquier otro tercero. (ISACA,


201




o Calificación promedio de las evaluaciones de seguridad física.

𝑿𝟏 = ∑ 𝑐𝑎𝑙𝑖𝑓𝑖𝑐𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑

𝑁ú𝑚𝑒𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑒𝑣𝑎𝑙𝑢𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑓í𝑠𝑖𝑐𝑎 𝑐

o Número de incidentes relacionados con la seguridad de la información

física

𝑿𝟐 =

𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑙𝑎𝑐𝑖𝑜𝑛𝑎𝑑𝑜𝑠 𝑐𝑜𝑛 𝑙𝑎 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑑𝑒 𝑙𝑎 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑐𝑖ó𝑛 𝑓í𝑠𝑖𝑐𝑎



el acceso físico a los activos de I&T planteadas por COBIT, en la Tabla 63 se describen

las actividades relacionadas con la DTIC, que se ejecutan y que se deberán


Tabla 63




A1.

Registrar y monitorizar todos los puntos de entrada a las instalaciones de TI. Registrar a todos los visitantes al sitio, incluidos contratistas y Proveedores

2

La institución realiza el registro y monitorización de todos los puntos de entrada a las instalaciones. El requisito para ingresar es la entrega de un documento de identificación. Se tiene 2 puntos de registro, en la planta baja del edificio de la Comandancia General y en el piso 8 para ingresar a la DTIC.

A2. Asegurar que todo el personal muestra una identificación

A todos los visitantes que ingresan a la Comandancia General se entrega una

202



debidamente autorizada en todo momento

credencial y se solicita utilizar la misma de manera visible, para seguir a cualquier departamento incluido a la DTIC

A3.

Requerir a los visitantes que estén acompañados en todo momento durante su estancia en las instalaciones

La institución solicita información del propósito de la visita, para constatar la persona/s con quien se encontrará el visitante.

A4.

Restringir y monitorizar el acceso a instalaciones sensibles de TI, mediante el establecimiento de restricciones al perímetro, como vallas, paredes y dispositivos de seguridad en puertas interiores y exteriores.

A pesar de que el ingreso al Ministerio es controlado mediante un sistema de rayos X de inspección de pertenencias; la DTIC debe considerar la implementación de controles adicionales que permitan reforzar la seguridad a las instalaciones de TI.

Gestionar solicitudes para permitir el acceso debidamente autorizado a las instalaciones de cómputo.

3

La DTIC debe incluir como parte de la política la gestión de solicitudes para permitir el acceso autorizado a las instalaciones de cómputo

A6.

Garantizar que los perfiles de acceso permanezcan actualizados. Basar el acceso a las instalaciones de TI (sala de servidores, edificios, áreas o zonas) en el cargo y las responsabilidades.

La DTIC deberá garantizar que los perfiles de acceso permanezcan actualizados y que el acceso a las instalaciones de TI se encuentre relacionado con el cargo y las responsabilidades de los usuarios.

A7.

Realizar formación sobre concienciación de la seguridad de la información física de forma regular

La DTIC debe realizar concientización a los usuarios sobre la seguridad de la información física de forma regular.

DSS05.06: Gestionar documentos sensibles y dispositivos de salida.

Descripción: Establecer protecciones físicas apropiadas, prácticas contables y

gestión de inventario relativa a activos sensibles de I&T, como formas especiales,

instrumentos negociables, impresoras para fines especiales o tokens de seguridad.


203




o Número de dispositivos de salida robados

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎 𝑟𝑜𝑏𝑎𝑑𝑜𝑠

o Porcentaje de documentos sensibles y dispositivos de salida identificados

en el inventario

𝑿𝟐 =𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑑𝑜𝑐𝑢𝑚𝑒𝑛𝑡𝑜𝑠 𝑠𝑒𝑛𝑠𝑖𝑏𝑙𝑒𝑠 𝑦 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑑𝑒 𝑠𝑎𝑙𝑖𝑑𝑎

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑜𝑠 𝑖𝑑𝑒𝑛𝑡𝑖𝑓𝑖𝑐𝑎𝑑𝑜𝑠 𝑒𝑛 𝑒𝑙 𝑖𝑛𝑣𝑒𝑛𝑡𝑎𝑟𝑖𝑜∗ 100%


documentos sensibles y dispositivos de salida planteadas por COBIT, en la Tabla 64 se

describen las actividades relacionadas con la DTIC, que se ejecutan y que se deberán


Tabla 64




A1.

Establecer procedimientos para gobernar la recepción, uso, retiro y desecho de documentos sensibles y dispositivos de salida, dentro y fuera de la empresa.

2

La DTIC deberá establecer procedimientos para gobernar la recepción, uso, retiro y desecho de documentos sensibles y dispositivos de salida, dentro y fuera de la empresa

A2.

Asegurar que se han establecido controles criptográficos para proteger información sensible almacenada electrónicamente.

La DTIC deberá asegurar el establecimiento de controles criptográficos para proteger información sensible almacenada electrónicamente

204



A3.

Asignar privilegios de acceso a documentos sensibles y dispositivos de salida con base en el principio de menor privilegio, manteniendo un equilibrio entre el riesgo y los requisitos del negocio

3

La DTIC deberá definir privilegios de acceso a documentos sensibles y dispositivos de salida.

A4.

Establecer un inventario de documentos sensibles y dispositivos de salida y realizar reconciliaciones periódicas

La DTIC debe establecer un inventario de documentos sensibles y dispositivos de salida.

DSS05.07: Gestionar las vulnerabilidades y monitorizar la infraestructura para

detectar eventos relacionados con la seguridad

Descripción: Mediante el uso de un portafolio de herramientas y tecnologías,

gestionar las vulnerabilidades y monitorizar la infraestructura para detectar accesos no

autorizados. Asegurar que las herramientas, tecnologías y detección de seguridad están

integradas en la monitorización general de eventos y la gestión de incidentes. (ISACA,





o Número de pruebas de vulnerabilidad llevadas a cabo en dispositivos

perimetrales

𝑿𝟏 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑝𝑟𝑢𝑒𝑏𝑎𝑠 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠

o Número de vulnerabilidades descubiertas durante las pruebas

𝑿𝟐 = 𝑁ú𝑚𝑒𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑑𝑒𝑠𝑐𝑢𝑏𝑖𝑒𝑟𝑡𝑎𝑠

o Porcentaje de tickets creados de forma oportuna cuando los sistemas de

monitorización identifican posibles incidentes de seguridad

205

𝑿𝟑 =𝑁𝑜. 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑 𝑐𝑟𝑒𝑎𝑑𝑜𝑠 𝑒𝑛 𝑚𝑒𝑛𝑜𝑟 𝑡𝑖𝑒𝑚𝑝𝑜

𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑡𝑖𝑐𝑘𝑒𝑡𝑠 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑑𝑒 𝑠𝑒𝑔𝑢𝑟𝑖𝑑𝑎𝑑

∗ 100%


las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados

con la seguridad planteadas por COBIT, en la Tabla 65 se describen las actividades

relacionadas con la DTIC, que se ejecutan y que se deberán implementar, las cuales se


Tabla 65




A1.

Usar de forma continua un portafolio de tecnologías, servicios y activos soportados (por ejemplo: escáneres de vulnerabilidad y sniffers) para identificar vulnerabilidades de seguridad de la información.

2

La DTIC a través del área de Seguridad de la información deberá realizar actividades periódicas de escaneos de vulnerabilidades.

A2.

Definir y comunicar escenarios de riesgo para que se puedan reconocer con facilidad y se pueda entender su probabilidad e impacto.

La DTIC mediante el área de Seguridad de la Información Digital recibe información y comunica escenarios de riesgo para definir su probabilidad e impacto.

A3. Revisar regularmente los logs de eventos para detectar posibles incidentes.

La DTIC mediante el área de Seguridad de la Información Digital, revisa periódicamente los logs de eventos para identificar posibles incidentes.

A4.

Garantizar que se creen tickets relativos a incidentes de seguridad de forma oportuna cuando la monitorización identifique posibles incidentes

La DTIC por medio del área de Seguridad de la Información Digital, deberá reforzar el procedimiento de creación de tickets de forma oportuna, frente a la identificación de posibles incidentes.

A5.

Registrar eventos relacionados con la seguridad y conservar los registros durante el periodo de tiempo apropiado

3

La DTIC por medio del área de Seguridad de la Información Digital registra eventos relacionados con la seguridad.

206

Estructuras Organizativas

Por medio de la matriz RACI (matriz de responsabilidades, R: Responsable, A:

Aprobador, C: Consultado, I: Informado), COBIT 2019 permite establecer las

responsabilidades de cada actor que participa en cada uno de los procesos descritos.

La matriz se refiere a una tabla en la cual, en las filas se especifican las tareas y en las

columnas los actores; en la intersección de cada fila con cada columna, se asigna la

responsabilidad de cada rol, como se muestra en la Figura 49.

Figura 49

Matriz de Responsabilidades


Gestión, 2018)

207


Este componente de gobierno indica una guía sobre los flujos y elementos de

comunicación relacionados con la práctica de los siete procesos del objetivo DSS05,

incluye entradas, salidas y se incluye origen y destino (Tabla 66)

Tabla 66


ENTRADAS SALIDAS


DSS05.01 Proteger contra software malicioso

Política de prevención de software malicioso

APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.

Evaluaciones de amenazas potenciales

APO12.02 Analizar el riesgo APO12.03 Mantener un perfil de riesgo

DSS05.02

Gestionar la seguridad de la conectividad y de la red.

APO01.07 Definir la propiedad de la información (datos) y del sistema de información

Directrices de clasificación de datos

Política de seguridad de la conectividad

APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas

APO09.03 Definir y preparar acuerdos de servicio

SLAs Resultados de pruebas de penetración

MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa

DSS05.03 Gestionar la seguridad de endpoint.

APO03.02 Definir la arquitectura de referencia

Modelo de arquitectura de la información

Políticas de seguridad para dispositivos Endpoint

APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas

APO09.03 Definir y preparar acuerdos de servicio

• SLAs • OLAs

BAI09.01 Identificar y registrar los activos actuales

Resultados de comprobaciones de inventario físicas

DSS06.06 Asegurar los activos de información

Informes de violaciones

208

ENTRADAS SALIDAS


DSS05.04

Gestionar la identidad del usuario y el acceso lógico.

APO01.05 Establecer roles y responsabilidades

Definición de roles y responsabilidades relacionadas con I&T

Resultados de revisiones de cuentas de usuarios y privilegios

Interna



Derechos de acceso de usuario aprobados

Interna

DSS05.05

Gestionar el acceso físico a los activos de I&T.

Registros de acceso

DSS06.03, Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa

Solicitudes de acceso aprobadas

Interna

DSS05.06

Gestionar documentos sensibles y dispositivos de salida.



Privilegios de acceso

Interna

Inventario de documentos y dispositivos sensibles

Interna

DSS05.07

Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.

Tickets relacionados con incidentes de seguridad

DSS02.02 Registrar, clasificar y priorizar las peticiones e incidentes

Características de los incidentes de seguridad

Interna

Logs de eventos de seguridad

Interna

Nota. Recuperado de (ISACA, Marco de referencia COBIT 2019: Objetivos de Gobierno

y Gestión, 2018)

Personas, habilidades y competencias

COBIT con base al Skills Framework for the Information Age (SFIA®) V6

(versión 6), define los siguientes recursos humanos y habilidades que se requieren para

209

alcanzar el objetivo de gestión DSS05: Gestionar los servicios de seguridad (ISACA,

Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión, 2018).

• Seguridad de la información

• Gestión de seguridad de la información

• Pruebas de penetración

• Administración de seguridad

Políticas y Procedimientos

Este componente proporciona una guía de políticas y procedimientos relevantes

para el objetivo de gobierno/gestión, generalmente se incluye el nombre de la política y

una descripción; en el caso del objetivo de gobierno DSS05: Gestionar los servicios

de seguridad, se especifica la política indicada a continuación (ISACA, Marco de


• Política Relevante: Política de seguridad de la información

• Descripción de la Política: Establecer directrices para proteger la información

corporativa y los sistemas e infraestructura asociados.

Cultura, ética y comportamiento

Este componente provee un modelo detallado sobre los elementos culturales

deseados por la institución, que permitan la consecución de los objetivos de gobierno y

gestión, en el caso del objetivo de gestión DSS05: Gestionar los servicios de

seguridad, se tiene el siguiente elemento (ISACA, Marco de referencia COBIT 2019:

Objetivos de Gobierno y Gestión, 2018).

• Elementos Culturales Clave: Crear una cultura de concienciación con respecto a la

responsabilidad del usuario de mantener prácticas de seguridad y de privacidad.

210

Servicio, infraestructuras y aplicaciones

Este componente de gobierno proporciona una guía sobre los servicios,

infraestructura y categoría de aplicaciones de terceros que pueden utilizarse para lograr

la consecución de los objetivos de gobierno y gestión, en este caso, del objetivo de

gestión DSS05: Gestionar los servicios de seguridad.

Como se indicó en el apartado 3.3, se procedió con el levantamiento de servicios

de TI para la DTIC; es así que en este apartado se considera todos los servicios de TI,

adicionales a los servicios de seguridad de TI y con base a los lineamientos de ITIL, se

completó la información para cada servicio, se registraron las actividades que se

cumple, así como objetivos, entradas, salidas, etc. Además, con las actividades

identificadas se desarrolló un diagrama de flujo.

La información relevante con la que no contaban los servicios y que se incluyó

para cada uno, es la que se indica a continuación:

• Código de servicio

• Versión

• Niveles de Servicio

Con base a la información recolectada, en la Tabla 67 se resume la información

general que describe cada uno de los servicios de TI identificados, de la Dirección de

Tecnologías de la Información y Comunicaciones (DTIC).

211

Tabla 67

Servicios de TI en la DTIC

No CATEGORIA SUB-

CATEGORIA SERVICIO TI NOMBRE CÓDIGO OBJETIVO

1

Servicios de Software

Aplicaciones

Aplicaciones Aplicaciones STI.APL.09

Identificar los requisitos funcionales del software de aplicaciones, prestar apoyo en el diseño y desarrollo de dichas aplicaciones y subir a los ambientes de desarrollo, pruebas y producción, aplicaciones nuevas o actualizaciones a las versiones ya existentes; y así mantener los servicios disponibles para el usuario

2 Gestión Documental

Gestor Documental

STI.GDOC.11

Permitir ahorro de recursos, protección al medio ambiente, ayuda al manejo centralizado de los requerimientos y seguridad de la información del Ejército del Ecuador.

3

Desarrollo Informático

Herramientas de Desarrollo

Desarrollo de Software

STI.DESA_HE. 04.01

Desarrollar e implementar nuevos aplicativos y brindar mantenimiento y soporte de aplicativos que se encuentran desarrollados

4 Herramientas de Reportería

Herramientas de desarrollo de Reportería

STI.DESA_REP.04.02

Brindar al usuario la información necesaria para realizar una mejor toma de decisiones en función a la información registrada por cada proceso.

5 Control de Calidad

Control de Calidad

STI.QA.02

Garantizar, monitorear y llevar un control de cada uno de los proceso, servicios y proyectos que se ejecutan por parte de la DTIC, en el cual se cumpla con la calidad de cada uno de los entregables.

212

No CATEGORIA SUB-


6 Base de Datos Base de Datos Base de Datos

STI.BASE_DATOS.05

Asegurar que el versionamiento del sistema sea validado y tenga conformidad con el requerimiento del usuario, para realizar puestas en producción.

7

Servicios de Comunicaciones

Centro de Control

LAN Admin de la LAN

STI.RLAN.06

Mantener la LAN (Red de Área Local) del edificio de la Comandancia General del Ejército operativa, eficiente y segura.

8 WAN Admin de la WAN

STI.RWAN.14

Administrar, monitorear y supervisar el correcto funcionamiento de los enlaces desde y hacia las unidades militares y la Comandancia General del Ejército

9 Telefonía IP TELEFONIA IP/CONMUTACIÓN

STI.TEL_IP.10

Disponer de un sistema unificado de Telefonía para brindar el servicio a los usuarios, con una gestión centralizada y la integración de varias localidades

10 Video conferencia

Servicio de Video Conferencia

STI.VIDEOC.03

Ahorrar tiempos, recursos y costos a los usuarios del ejercito del Ecuador Facilita la disposición al momento de requerir un trabajo de suma urgencia Permite mantener informados a cada unidad militar en su respectivo nivel, sobre el estado del personal, material y equipo.

11 Correo Electrónico

Servicio de Correo Electrónico

STI.CO_ELC.13

Crear, resetear las cuentas de correos de los usuarios y mantener el servicio al 100% durante las 24 horas.

12 Infraestructura Infraestructura Servidores

Servidores Administración de servidores

STI.ADM_SRV.12.01

Mantener los servidores operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares

213

No CATEGORIA SUB-


13 Almacenamiento

Almacenamiento físico de servidores

STI.ALM_SRV.12.02

Mantener el sistema de almacenamiento operativos al 100%, para evitar contratiempos en el desarrollo de las operaciones militares, brindando información fiable para la toma de decisiones

14

Seguridad

Seguridad de la Información


STI.SI_DIGITAL.01

El centro de respuesta incidentes de seguridad cibernética fuerzas armadas tiene el propósito de gestionar incidentes de Fuerzas Armadas que atenten la infraestructura tecnológica, física y digital de las Fuerzas Armadas

15 UTM Admin UTM STI.SI_UTM.07

Administrar el acceso hacia Internet por parte de los usuarios y proteger la red de datos del edificio de la Comandancia General del Ejército

16 Seguridad Lógica

Servicio Seguridad Dominio

STI.SI_SEGLOG.08

Cumplir al 80% con las necesidades requeridas por los usuarios para que puedan desempeñar su trabajo de forma óptima

A continuación, se muestra la información propuesta para el servicio de red de

datos. En el Anexo B, se incluye la información para los servicios restantes.

214

SERVICIO DE RED DE DATOS DE LA FUERZA TERRESTRE

I. Diagnóstico Inicial Al iniciar con levantamiento del servicio de WAN se pudo identificar que no se cuenta con un flujo del servicio definido, o niveles de servicio determinados; el encargado actual del servicio tiene el conocimiento de las actividades que se realizan, pero no como parte de un proceso establecido. Los responsables del servicio se encargan de la administración, configuración y monitoreo de la WAN de la Fuerza Terrestre.

II. Levantamiento de procesos actuales


Código STI.RWAN.14

Nombre Administración de la WAN

Descripción

Soporte técnico y administración, así como recepción y atención de incidentes asociados a la red WAN (Red de área extensa), red que permite que las unidades militares geográficamente distribuidas dispongan de los servicios y aplicativos proporcionados por la Fuerza terrestre integrando la Comandancia General del Ejército con las unidades.

Estado Activo - Operativo

Versión 1.0

Fecha puesta en operación

1997

Fecha finalización En Funcionamiento Actualmente

Contacto Soporte Sgos. Cacpata Vicente mail:[email protected]

Contacto para modificaciones

Sgos. Cacpata Vicente mail: [email protected]

Propietario Comandancia General del Ejército

Clientes Usuarios unidades militares

INTRODUCCIÓN

La administración de la WAN es responsable del soporte técnico y gestión, así como de la recepción y atención de incidentes asociados a la red WAN (Red de área extensa), red que permite la interconexión de la Comandancia General del Ejercito con las unidades militares geográficamente distribuidas; con la finalidad de mantener la correcta operatividad de las redes y asegurar el normal desempeño de los usuarios

ALCANCE

215

Inicia con: g) Oficio de la solicitud del servicio en el Gestor

Documental (Chasqui) h) Memorándum de trabajo

Termina con: e) Cierre de oficio en el sistema Chasqui

OBJETIVO

Administrar, monitorear y supervisar el correcto funcionamiento de los enlaces desde y hacia las unidades militares y la Comandancia General del Ejército

SERVICIO CONTIENE

a) Administración de enlaces b) Administración de DNS internos y externos c) Administración del Firewall UTM (FW) d) Administración del servidor VPN

EXCLUSIONES

a) Mantenimientos correctivos b) Administración de enlaces de CNT, solamente se considera la administración de equipos finales


Responsables c) Sgos. Cacpata Vicente d) Sgos. Cando Edwin e) Sgos. Guaman Luis

Clientes b) Usuarios de unidades militares c) Administradores de los servidores

Servicios Relacionados

d) LAN e) Infraestructura - Servidores

Entradas b) Documento mediante el Gestor Documental

(Chasqui), escalado desde la DTIC al jefe del Centro de Control de Datos

Entregables d) Informe de trabajos realizados

Funciones

c) Monitoreo de enlaces. – Incluye la medición y verificación del nivel de señal y calidad del enlace; en casos de daños identificados, se realiza la calibración del enlace

d) Apertura de puertos en el UTM e) Administración de reglas en el UTM f) Monitoreo, soporte y mantenimiento preventivo del

UTM g) Creación y accesos de VPNs a la red h) Asignación de nombres de dominio i) Control de direccionamiento IP de las unidades y

servidores j) Realización de informes del trabajo realizado y

situación actual del sitio o unidadmilitar visitado. Se entrega aljefe del centro de control de datos.

216

Flujo de Actividades

Creación de reglas en el UTM a) Acceder al UTM y verificarla zona desde donde se

requiere acceder b) Verificar el tipo de protocolo (TCP/UDP) y el

número de puerto c) Verificar las redes de origen y destino d) Creación de la regla respectiva en el UTM para la

apertura del puerto específico, para el servicio requerido

e) Se realiza pruebas con el usuario f) Finaliza el requerimiento

Asignación de nombres de dominio a) En el sistema chasqui el administrador de un

servidor solicita la asignación de un nombre de dominio para determinado servidor

b) Administrador del servidor entrega los datos del servidor y nombre del sitio a resolver al administrador de la WAN

c) Asignar al servidor una dirección IP pública, del pool de direcciones públicas entregadas por CNT

d) Administrador de la WAN asigna la dirección IP del servidor al nombre solicitado, dentro del dominio ejercito.mil.ec. en los sistemas de archivos de la configuración de DNS

e) Se verifica la resolución del sitio configurado, tanto interna como externamente en conjunto con el administrador del servidor

f) Se guarda la configuración y se obtiene el backup de la última configuración realizada.

g) Finaliza el requerimiento Para VPN Servicio únicamente disponible para unidades que no disponen de una Red de Datos de la Fuerza Terrestre y el único medio de interconexión es el INTERNET actualmente se encuentran funcionando con este sistema 2 unidades militares.

a) Se solicita al usuario de manera obligatoria un oficio con el requerimiento para la VPN. El documento se dirige a la DTIC, quienes escalan al jefe del Centro de Control de Datos.

b) Se verifica en el UTM las reglas correspondientes a la VPN

c) En el router cisco se crea el usuario y se asigna una contraseña

d) Verificar que el usuario disponga del cliente cisco para iniciar la VPN en su equipo

e) Se crea memorándum de la configuración realizada

217

f) Se entrega el usuario y la contraseña al encargado de la unidad de manera personal, con la copia de cédula como responsable de la VPN

g) La VPN caduca bajo pedido del usuario. h) Finaliza el requerimiento

ESPECIFICACIONES

Configuración

- Unidades militares enlazadas por el proveedor CNT a nivel nacional - Enlaces de radio microondas IP - Enlace directo con fibra óptica, desde el dispositivo local hacia el dispositivo final de CNT, en cada unidad militar. - Configuración de un UTM en cada unidad militar

Restricciones a) Obsolescencia de los equipos

Elementos Tecnológicos

Enlaces WAN - Se cuenta con 26 unidades militares integradas a la Red de Datos mediante la infraestructura de la CNT a nivel nacional - Se cuenta con 35 unidades militares que por medio del Backbone del Comando Conjunto se integran los enlaces de última milla mediante Radios: Motorola, Alvarion, Ceragon - Sistema monitoreo de enlaces mediante Software libre y la aplicación Nagios. Asignación de nombres de dominio - 4 Servidores DNS: HPcon Sistema Operativo CENTOS 7 (2 internos y 2 externos) - Firewall UTM marca IBM VPN - Router marca Cisco 2811 dedicado para VPN

Nivel de Servicio

Requerimientos Locales a) Urgente: 1 hora b) Medio: 2 horas c) Bajo: más de 2 horas Requerimientos Externos a) Urgente: Depende de la coordinación logística (Requerimiento vehículo): 3 días b) Medio: 3dias c) Bajo: 5 días

Horarios a) El servicio se encuentra activo las 24 horas al día los 7 días de la semana


Nivel de servicio Tiempo Respuesta Incidentes: 1 hora


218

III. Niveles de servicio

IND

ICA

DO

R

OP

ER

AT

IVO

PE

SO

DE

L

IND

ICA

DO

R

OP

ER

AT

IVO

RA

TIO

PE

SO

DE

L

RA

TIO

VA

LO

R

OB

JE

TIV

O

MÍN

IMO

V

AL

OR

O

BJE

TIV

O

ES

PE

RA

DO

CO

ND

ICIÓ

N

DE

ME

DID

A

FU

EN

TE

FÓ

RM

UL

A D

E

CÁ

LC

UL

O

DE

MA

ND

A

(um

bra

l)

Desempeño 100%

Tiempo de

atención del

requerimiento

40%

80%

85%

Tiempo en

estado sin

atención desde que el

requerimiento fue reportad

o

Chasqui

(# Requerimientos atendidos en el tiempo comprometido / # Total Requerimientos Recibidos)*100

10

Tiempo de

Resolución del

requerimiento

40%

80%

85%

Tiempo en

estado sin

atención desde que el

requerimiento fue reportad

o

Chasqui

(# Requerimientos resueltos en el tiempo comprometido / # Total Requerimientos Recibidos)*100

10

Tiempo escalamiento: 30 minutos

Nivel de soporte

Tiempo Respuesta Incidentes: Inmediato, Cuando el incidente se suscita en otras localidades depende de la disponibilidad del vehículo de la institución, en horarios definidos y autorizados (Se requiriere autorización del director para que se movilice el técnico).

Tiempo resolución incidentes: Inmediato, Cuando el incidente se suscita en otras localidades depende de la disponibilidad del vehículo de la institución, en horarios definidos y autorizados (Se requiriere autorización del director para que se movilice el técnico).

Tiempo escalamiento: Inmediato


Nivel 1 [email protected]

Nivel 2 Mayor. Sanchez Juan Carlos

Nivel 3 Empresas proveedoras de servicios

219

IV. Diagrama del Proceso Actual

220

Capítulo IV

Conclusiones y recomendaciones

Al terminar el presente trabajo se ha llegado a las siguientes conclusiones y

recomendaciones

Conclusiones

• La Dirección de Tecnologías de la Información y Comunicaciones (DTIC)

actualmente no cuenta con un modelo de gobierno de TI definido, el cual les

permita tener un mejor control en cuanto a servicios y procesos que ofertan

dentro de la institución y con base al mismo poder mostrar el valor agregado que

generan dentro de la Institución.

• En función a la información recibida por parte de la Institución se aplicó el

modelo de gestión COBIT 2019, para poder definir cuan alineada se encuentra

la DTIC con respecto a los objetivos estratégicos de la Institución, el cual nos dio

como resultado un 80% de alineamiento acorde a los objetivos estratégicos

generando un alto impacto como área.

• La DTIC busca la implementación de un modelo de gestión TICs que le permita

generar indicadores tanto de cumplimiento como gestión, en el cual se refleje el

trabajo y el aporte que generan dentro del Ejercito del Ecuador, en función a

esto se aplicó dos fases para la implementación de un modelo de gestión, el cual

en su fase inicial se basó en el levantamiento de Servicio y definición de

Procesos que oferta el DTIC; para ello se utilizó la ITIL V4 el cual permitió aplicar

y definir niveles de SLA; como fase dos se implementó el modelo de gestión

221

COBIT 2019, el cual permitió definir un modelo de gestión basado en calidad y

mejora continua.

• Las 5 metas empresariales relevantes que se obtuvieron para la DTIC,

permitieron identificar 7 metas de alineamiento relacionadas con I&T importantes

para la institución; es así que la DTIC debe enfocar los objetivos de TI hacia la

gestión de riegos, a la prestación de servicios de TI con base a los

requerimientos de la institución, a la seguridad de la información, a la calidad de

la información de la gestión de TI, etc.

• Los factores de diseño propuestos por COBIT 2019 permitieron definir un

modelo de mejora de un sistema de gobierno para la DTIC, el cual comprende

de 20 objetivos de gobierno y gestión, 2 bajo el dominio de la administración y

dirección ejecutiva, mientras que los 18 restantes se encuentran bajo el dominio

de gestión.

• Dentro del dominio de gobierno es importante para la DTIC, Garantizar el

establecimiento y el mantenimiento del marco de gobierno (EDM01) y Asegurar

la optimización del riesgo (EDM03).

• En el dominio de gestión, es necesario que la DTIC considere, Gestionar el

marco de gestión de TI (APO01), Gestionar la arquitectura de la empresa

(APO03), Gestionar la calidad (APO011), Gestionar el riesgo (APO012),

Gestionar la seguridad (APO013), Gestionar los datos (APO014), Gestionar la

definición de requisitos (BAI02), Gestionar la identificación y construcción de

soluciones (BAI03), Gestionar los cambios de TI (BAI06), Gestionar la

aceptación y la transición de los cambios de TI (BAI07), Gestionar la

configuración (BAI10), Gestionar las peticiones y los incidentes del servicio

(DSS02), Gestionar los problemas (DSS03), Gestionar los servicios de

222

seguridad (DSS05), Gestionar los controles de procesos de negocio (DSS06),

Gestionar el sistema de control interno (MEA02), Gestionar el cumplimiento de

los requerimientos externos (MEA03) y Gestionar el aseguramiento (MEA04).

• Los 20 objetivos de gobierno y gestión relevantes para la DTIC, se traducen en 2

procesos orientados a Evaluar, Dirigir y Monitorizar; en 6 procesos que permiten

Alinear, Planificar y Organizar; en 5 procesos para Construir, Adquirir e

Implementar; en 4 procesos para Entregar, Dar Servicio y Soporte, y finalmente

en 3 procesos que permiten Monitorizar, Evaluar y Valorar.

• El modelo de evaluación de procesos de COBIT 2019 priorizados para la DTIC

se basó en CMMI (Integración del modelo de madurez de capacidades) y se

pudo identificar que la mayoría se encuentran en nivel 0, es decir con estrategias

incompletas para lograr el propósito de gobierno y gestión; es así que se

evidenció una brecha significativa en cuanto a la información que se tiene

disponible para la toma acertada y efectiva de decisiones.

• De los procesos evaluados, el mayor porcentaje 55% se encuentran en el nivel

de capacidad de valor 0 (Cero), es decir procesos en los cuales se requiere

mayor esfuerzo en cuanto a estrategias para abordar el propósito de gobierno y

gestión.

223

Recomendaciones

• Se recomienda a la DTIC revisar las fases y considerar el mapa de la secuencia

de Objetivos de Gobierno/Gestión a implementar, en el cual se encuentran

agrupados y priorizados en el orden que deberían ser ejecutados en la

Institución.

• Se recomienda mantener la estructura de los procesos definidos por COBIT

2019, en la cual se incluye descripción, métricas y actividades, así como en la

información global de los objetivos de gobierno/gestión, con el fin de tener

conocimiento por parte de los usuarios en la utilización, administración y

gobierno de TI.

• Se recomienda sostener e implementar mejoras en la definición de los Servicios

de TI realizada, de manera que sea posible contar con procedimientos

adecuados, con base a un modelo de mejores prácticas de TI y tener

información adecuada para la toma efectiva de decisiones.

• Se recomienda la implementación de una herramienta de atención de incidentes

en la cual se pueda generar tickets en función de SLAs definidos; y que permita

tener una base de datos de las incidencias de sus clientes; para con ello tener

un mejor control respecto de las soluciones brindadas.

• Se recomienda elaborar un plan de actualización en cuanto a la metodología

scrum para el desarrollo de Software, la cual permita a la DTIC tener un control e

interactividad al momento de realizar cambios o nuevos desarrollos requeridos

por sus clientes

224

Referencias bibliográficas

ADACSI. (20 de 11 de 2018). ADACSI: ¡Nuevo COBIT 2019! Obtenido de ADACSI: https://isaca.org.ar/2018/11/20/nuevo-cobit-2019/ Aportela, R. I., & Gallego Gómez, C. (Noviembre de 2015). La información como recurso estratégico. Obtenido de revistas.ucm.es: https://revistas.ucm.es/index.php/RGID/article/download/51238/47559 Caneo Pablo., G. (2015). Caso de éxito COBIT 5 una experiencia práctica (2015). Recuperado el 10 de 03 de 2019 CAPT DE COM PAREDES RODRIGUEZ, P., & CAPT DE COM PRADO MÉNDEZ, N. (2019). PROYECTO INTEGRADOR DEL COAAS 36. Cazau, P. (2004). Apuntes sobre metodología de la investigación. CMMI. (2019). CMMI Institute. Obtenido de https://cmmiinstitute.com DTIC. (22 de 01 de 2019). MANUAL DE PUESTOS 2018-2021. Escoute, L. (2019). A new COBIT® is in town and I really like how this looks. Obtenido de Escoute, LLC: https://www.escoute.com/a-new-cobit-is-in-town-and-i-really-like-how-this-looks/ Espinoza, J. M. (2019). Se actualiza COBIT 5, y se llamará COBIT 2019. ¡Te lo cuento todo! Obtenido de linkedin: https://www.linkedin.com/pulse/se-actualiza-cobit-5-y-llamar%C3%A1-2019-te-lo-cuento-todo-juanma-espinoza FLORES, L. A. (2017). DISEÑO E IMPLEMENTACIÓN DE UNA MESA DE SERVICIOS, UTILIZANDO ITIL V3.0, PARA EL SERVICIO TÉCNICO EN EL DEPARTAMENTO TECNOLÓGICO DEL MINISTERIO DEL AMBIENTE. Quito: ESCUELA POLITÉCNICA NACIONAL. Garbarino Alberti, H. (2014). Marco de Gobernanza de TI para empresas Pymes. Madrid: Universidad Politecnica de Madrid. Gobernanza de las tecnologías de la información . (17 de 02 de 2020). Obtenido de https://es.wikipedia.org/wiki/Gobernanza_de_las_tecnolog%C3%ADas_de_la_informaci%C3%B3n Gonzalez, P. (30 de Noviembre de 2018). COBIT 2019 — EL NUEVO MODELO DE GOBIERNO EMPRESARIAL PARA INFORMACIÓN Y TECNOLOGÍA. Obtenido de Medium: https://medium.com/@ppglzr/cobit-2019-el-nuevo-modelo-de-gobierno-empresarial-para-informaci%C3%B3n-y-tecnolog%C3%ADa-a7bf92b7288b Huércano, S. R. (2018). Manual ITIL V3 Integro. Sevilla: Biable Management, Excellence and Innovation. iPMOGuide. (junio de 2018). iPMOGuide. Obtenido de https://ipmoguide.com/cobit-modelo-de-madurez/ ISACA. (2018). Diseño de una solución de Gobierno de Información y Tecnología. ISACA. (2018). GUÍA DE IMPLEMENTACIÓN COBIT® 2019. Schaumburg. ISACA. (2018). Marco de referencia COBIT 2019: ¿Qué es COBIT y qué no es? USA. ISACA. (2018). Marco de referencia COBIT 2019: Beneficios del gobierno de tecnologías de la información. USA. ISACA. (2018). Marco de referencia COBIT 2019: COBIT como marco de gobierno de I&T. USA. ISACA. (2018). Marco de referencia COBIT 2019: Gobierno empresarial de la Información y Tecnología. ISACA. (2018). Marco de referencia COBIT 2019: Introducción y Metodología. ISACA. (2018). Marco de referencia COBIT 2019: Objetivos de Gobierno y Gestión ISACA. (2018). Marco de referencia COBIT 2019: Partes interesadas en el gobierno. ISACA. (2018). Marco de referencia COBIT 2019: Principios de COBIT 2019. ISACA. (2019). I N T R O D U C I N G COBIT 2019. Obtenido de Isaca.org: http://www.isaca.org/COBIT/Documents/COBIT-Current-User_res_eng_1018.pdf

225

Juan Carlos Gutiérrez Cantor,Brayan Nicolás Guzmán Prieto,David Santiago Chisco Quintero. (2017). Guía de implementación de gestión de servicio de TI usando ITIL en las MIPYME. Bogota: ESCUELA COLOMBIANA DE INGENIERÍA JULIO GARAVITO. Juárez, H. A. (10 de 06 de 2010). ITIL: ¿qué es y para qué sirve? (Magazcitum, Editor) Recuperado el 12 de 12 de 2019, de Magazcitum: https://www.magazcitum.com.mx/?p=50#.XlXH6KhKjIU López Ibarra, L. (s.f.). Redes de agronegocios. Obtenido de https://sites.google.com/site/redesdeagronegocios/redes-de-valor/temas-de-mapeo-de-redes-de-agronegocios Luisa Fernanda Quintero Gómez, Hernando Peña Villamil. (4 de 12 de 2017). Modelo basado en ITIL para la Gestión de los Servicios de TI en la Cooperativa de Caficultores de Manizales. (U. T. Pereira, Ed.) Scientia et Technica Año XXII, 22(04), 10. doi:0122-1701 Mejia Jervis, T. (Marzo de 2017). ¿Qué son las Variables de Investigación?: Lifeder.com. Obtenido de Lifeder.com: https://www.lifeder.com/variables-de-investigacion/ Metodología de investigación, pautas para hacer Tesis. . (Agosto de 2013). Obtenido de tesis-investigacion-cientifica.blogspot.com: http://tesis-investigacion-cientifica.blogspot.com/2013/08/que-es-operacionalizacion-de-variables.html Peñaherrera, I. C. (2015). Desarrollo de un modelo de mejoramiento de procesos de tecnología de información basado en COBIT5 para Yanbal Ecuador. Quito - Ecuador: Aguayo. Reguant Alvarez, M., & Martínez-Olmo, F. (2014). OPERACIONALIZACIÓN DE CONCEPTOS/ VARIABLES. Barcelona. Obtenido de http://diposit.ub.edu/dspace/bitstream/2445/57883/1/Indicadores-Repositorio.pdf Rodriguez, L. I. (2019). Manual de Puestos de la DTIC 2019-2021. Quito. S.L., S. (01 de 01 de 2019). INTRODUCCIÓN A ITIL V3. (S. S.L., Editor) Recuperado el 12 de 12 de 2019, de ServiceTonic S.L.: https://www.servicetonic.com/es/itil/introduccion-a-itil-v3/ Salah Llanes, J. (2017). Modelo de Gobierno y Gestión de TI basado en la estrategia de Gestión del Riesgo para la. Sanchis Milla, F. (2015). Definición e implantación de un proceso. Santana, C. (04 de 02 de 2014). ¿Qué es el Balanced Scorecard? Obtenido de https://blog.acsendo.com/que-es-el-balanced-scorecard/ Torres, A. (08 de 2016). Interpolados. Obtenido de COBIT 5: UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA: https://interpolados.wordpress.com/2016/08/30/cobit-5-un-marco-de-negocio-para-el-gobierno-y-la-gestion-de-las-ti-de-la-empresa/ Velasteguí, A. (2019). IMPLEMENTACIÓN DEL MODELO INTEGRADO DE MADUREZ Y CAPACIDADES (CMMI) EN LA UNIDAD INFORMÁTICA DE LA DTIC. Zone, M. (24 de 04 de 2019). Métricas de cliente. Cómo medir la rentabilidad, la satisfacción y la fidelidad. Obtenido de http://www.icesi.edu.co/marketingzone/metricas-del-cliente/

226

Anexos